华为 职业 认证 通过 者 权益 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (jp:JMeommpgs.hnwaweicomWcn) 享有 如 下 特权 : 
。 1、 华 为 Elearning 课程 学 习 
o 内容: 所 有 华为 职业 认证 ELearning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
o ”方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emalil 地 址 ”到 LeQ/ming@huawei.com 所 广 到 乳 。 
2、 华 为 培训 教材 下 载 
o 内容: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企业 网 络 、 存 储 、 安全 等 诸 包 全 
0 方式: 登录 华为 在 绪 党 习 奢 站 ， 进 入 “华为 芍 动 -> 面 达 努 认 ， 在 具体 课程 页 面 即 可 下 载 教材 。 
3、 华 为 在 线 公 开课 (LYC) 优 先 参与 
o 内容: 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 省 班 火 数 有 限 
o 方式: 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.huawei.corn/learning/NavigationAcfionlcreateNavi#rigvilid]j= 16 
4、 学 习 工 具 eNSP 
ENSP [Enterprise Network Simulation Platformj, 是 由 华为 提供 的 免费 前 司 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ， 同 时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华为 产品 技术 。_〈_http://support.huawei.contyeee 员 munity/bbsy/list 2247.html ) 
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HC120310001 
防火 墙 高 级 设备 管理 





@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
熟悉 防火 墙 基 础 管理 方式 
掌握 使 用 AAA 方式 管理 防火 墙 
掌握 处 理 密码 故障 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved . 





全 目录 


基础 管理 方式 
AAA 方式 设备 管理 
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设备 登录 管理 


。 设备 登录 管理 组 网 - Console 


下 一 外 





Eee 
Interface 


。 设备 登录 管理 组 网 - Web /SSH / Telnet 
o 直接 相连 (通过 局 域 网 
o 远程 连接 (通过 广域网 








管理 PC GO/0/1 
192.168.0.1/24 
192.168.0.100/24 e680 USS 


秆 一 一 一 一 国 


网 线 
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通过 Console 口 登录 : 


使 用 PC 终端 通过 连接 设备 的 Console 口 来 登录 设备 ， 进 行 第 一 次 上 电 和 配置 。 当 用 户 
无 法 进行 远程 访问 设备 时 ， 可 通过 CofARIe 所 村 本 地 登录 ; 当 设 备 系 统 无 法 启动 时 ， 可 通 
过 console 口 进行 诊断 或 进入 BoofRom 进 行 系统 升级 。 

通过 Telnet 登 录 : 


通过 PC 终端 连接 到 网 络 展 ， 使 用 Telnet 方 式 登 录 到 设备 上 ， ee 
目标 设备 根据 配置 的 登录 参数 对 用 户 进 行 验证 。Telnet 登 录 方 式 方便 对 设备 进行 远程 管理 
和 维护 。 


通过 3SH 登 录 : 


提供 安全 的 信息 保障 和 强大 认证 功能 ， 保 护 设备 系统 不 受 IP 欺 骗 、 明 文 密码 截取 等 攻 
击 。 SSH 登 录 和 能 更 大 限度 的 保证 数据 信息 交换 的 安全 。 


通过 Web 登 录 : 
在 客户 端 通过 Web 浏 览 器 访问 设备 ， 进 行 控制 和 管理 。 适 用 于 配置 终端 PC 通过 Web 
方式 登录 。 


注意 : PC 和 US3C 以 太 网 口 的 PP 地 址 必须 在 同一 网 段 或 PC 和 US3C 之 间 有 可 达 路 由 


通过 Console 口 登录 设备 


。 USG 配 置 口 登录 的 缺 省 用 户 名 为 admin， 缺 省 用 户 密码 为 
Admin@123。 其 中 ， 用 户 名 不 区 分 大 小 号， 密码 要 区 分 大 小 


连接 到 


Fn 


国家 地 区 ) (C): 
图 标 怠 ): 区 号 @) : 


车 人 萤 多 而 忆 电话 号 码 双 ) : 


连接 时 使 用 QD : 


输入 名 称 并 为 该 连接 选择 图 标 : 
名 称 吕 ): 


AR 
mg | 《So wm 
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Wb huawel 
通过 Console 口 登录 : 


使 用 PC 终端 通过 连接 设备 的 Console 上 加 来 登录 设备 ， 进 行 第 一 次 上 电 和 配置 。 当 用 户 
无 法 进行 远程 访问 设备 时 ， 可 通过 Console 进 行 本 地 登录 ; 当 设 备 系 统 无 法 启动 时 ， 可 通 
过 console 口 进行 诊断 或 进入 BootRom 进 行 系统 升级 。 


如 果 使 用 PC 进行 配置 ， 需 要 在 RC 上 运行 终端 仿真 程序 (如 Windows3.1 的 Terminal， 
Windows98/Windows2000/Wirdews XP 的 超级 终端 ) 


端 ) ， 建 立新 的 连接 。 如 图 所 示 ， 键 
入 新 连接 的 名 称 ， 单 击 “ 确 害 *%。 


在 串口 的 属性 对 话 框 中 设置 波 特 率 为 ?600， 数 据 位 为 8， 奇 偶 校 验 为 无 ， 停 止 位 为 1 
流量 控制 为 无 ， 单 击 人 确定 : ， 返 回 超级 终端 窗口 。 


打开 设备 电源 开关 。 设 备 上 电 后 ， 


仿 查 设备 前 面板 上 的 指示 灯 显 示 是 否 正常 。 


通过 Telnet 方 式 登 录 设 备 


。 设备 缺 省 可 以 通过 
GigabitEthernet0/0/0 接 口 来 实现 TT 
Telnet 登 录 。 上 Speciy the destination you want to connect to 


Hos Name (or IP address) Pat 
19216801 >、 





o 将 管理 员 PC 的 网 络 连接 的 IP 地 


Connection type: 
Raw ® Tenet Riogn s: 


址 获取 方式 设置 为 “自动 获取 iP |‖ i 


Saved Sessions 


地 址 ”。 

o 通过 Putty telnet192.168.0.1， 
进入 登录 页 面 。 

o 缺 省 用 户 名 为 admin， 密 码 为 
Admin@123 








GigabitEthernet 0/0/0 接 口 加 入 Trust 域 并 提供 缺 省 iP 地址 (192.168.0.1/24) ， 并 开 
放 Trust 域 到 Locagl 域 的 缺 省 包 过 滤 ， 方 便 初 始 登 录 设 备 。 


通过 SSH 方 式 登录 设备 


。 设备 可 以 通过 
GigabitEthernet0/0/0 接 口 来 实 
Basic options for your PuT TY session _ 


现 SS H 登录 o Specily the destination you want to connect to ” 坊 
Host Name [or IP address] Port 
2 


o 使 用 Telnet 或 Console 口 登陆 方 i ea 
式 登 陆 设备 ， 启 用 Stelnet 服 务 = ORaw OIenet ORlogn @SsH OY 


Load, save of delete a stored sessiopmm “9 
Saved Sessions 


RPuIlY Configuration 


o 通过 Putty SSH192.168.0.1， | or 
进入 登录 页 面 。 
o 缺 省 用 户 名 为 admin ， 密 码 为 
Admin@123 a 


OAways ON © Onkyon clean exi 
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SSH 可 以 为 用 户 登录 设备 系统 提供 安全 的 信息 保障 和 强大 的 认证 功能 。 配 置 U3G 接 口 
SSH 设 备 管理 ， 管 理 员 根据 实际 的 需要 打开 。 


在 USG 上 生成 本 地 密 钥 对 。 

成 功 完 成 SSH 登 录 的 首要 操作 是 沁 配 置 并 产生 本 地 RSA 密 钥 对 。 请 您 在 进行 其 它 SSH 配 
置 之 前 ， 一定 记得 完成 rsq local-Key-pair create 配 置 ， 生 成 本 地 密 钥 对 。 此 命令 只 需 执 
行 一 遍 ， 设 备 重启 后 不 必 再 次 执行 。 

在 USG 上 创建 SSH 用 户 。 

设备 作为 SSH 服 务 器 时 ， 可 配置 对 SSH 用 户 的 验证 方式 为 Pqssword、RS 人 A 方式 。 

启用 USG 的 服务 方式 为 STelnet/SFTP 服 务 。 


执行 命令 SSsFksuseruser-name service-type { sftp | stelnet | dll }， 为 SSH 用 户 配置 
服务 方式 。 


在 使 用 3SH1.5 版 本 配置 53H 终 端 服 务 时 ， 不 需 进行 该 配置 ， 在 使 用 3SH2.0 版 本 配置 3SH 
终端 服务 时 ， 必 须 配 置 该 命令 。 


启用 USG 的 STelnet/SFTP 服 务 。 
配置 SSH 服务 器 功能 。 执 行 命令 stelnet server enqble， 启 用 Stelnet 服 务 。 


在 使 用 SSH1.5 版 本 配置 53H 终端 服务 时 ， 不 需 进行 该 配置 ， 在 使 用 3SH2.0 版 本 配置 3SH 
终端 服务 时 ， 必 须 配置 该 命令 。 


前 过 Web 方 式 登录 设备 


。 设备 缺 省 可 以 通过 GigabitEthernet0/0/0 接 口 来 登录 Web 界 面 。 
o 将 管理 员 PC 的 网 络 连接 的 IP 地 址 获取 方式 设置 为 “自动 获取 IP 地 址 ”。 
o 将 PC 的 以 太 网 口 与 设备 的 缺 省 管理 接口 直接 相连 ,或 者 通过 交换 机 中 转 相 连 入 
。 在 PC 的 浏览 器 中 访问 http://192.168.0.1， 进 入 Web 界 面 的 登录 页 面 。 AL 
o 缺 省 用 户 名 为 admin， 密 码 为 Admin@123 





Secoway 
USG2220 


HUAWET 


简体 中 文 
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缺 省 情况 下 ， 设 备 开 启 HTTP; 建议 开启 HTIPS4 提高 安全 性 。 用 户 可 以 通过 用 户 名 / 密 
码 : admin/Admin@123 登 录 ， 为 保证 系统 安全 ， 登 录 后 请 修改 密码 。 

只 有 GigabitEthernet 0/0/0 接 口 加 入 Tiwst 域 并 提供 缺 省 iP 地 址 (192.168.0.1/24) ， 
并 开放 Trust 域 到 Local 域 的 缺 省 包 过 滤 ， 方 便 初 始 登 录 设备 。 

缺 省 情况 下 开放 Local 域 到 其 他 任意 安全 区 域 的 缺 省 包 过 滤 ， 方 便 设 备 自身 的 对 外 访 
问 。 


其 他 接口 都 没有 加 安全 区 域 ， 并 且 其 他 域 间 的 缺 省 包 过 滤 关 闭 。 要 想 设备 转发 流量 必 
须 将 接口 加 入 安全 区 域 ， 并 配置 域 间 安 全 策略 或 开放 缺 省 包 过 滤 。 


网 络 的 管理 控制 信息 与 用 户 网 络 的 承载 业务 信息 通过 同一 个 逻 
及 信道 传送 。 


。 默认 情况 下 在 USG 中 低 端 系列 产品 中 ，GigabitEthernét 
0/0/0 可 作为 带 内 管理 接口 。 


GE0/0/0 接 口 缺 省 iP 地址 为 
192.168.0.1/24， 默 认 开 启 
Web 管 理 功 能 。 
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在 缺 省 情况 下 ， 在 USG 中 低 端 系列 产 锯 中 ，GE0/0/0 拥 有 一 个 缺 省 IP 地 址 
192.168.0.1/24 用 作 设 备 管理 。 并 开启 web 管 理 功能 和 接口 DHCP 服 务 。 此 接口 可 作为 设 
备 的 带 内 管理 接口 。 


人 用 户 网 络 的 承载 业务 信息 在 不 同 的 逻辑 


。 USG 5500 系 列 产 品 主 面 板 上 有 一 个 固定 的 带 外 管理 接 司 ， 用 


于 设备 的 管理 。 (图 中 9 号 口 ) 
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带 外 管理 接口 作为 一 个 逻辑 信道 单独 传送 管理 控制 信息 。 


文件 系统 


。 文件 系统 由 储存 设备 和 保存 在 储存 设备 的 文件 组 成 ， 可 实现 管理 存储 设备 
、 管 理 保存 在 存储 设备 中 的 文件 两 类 功能 。 


。 USG 系 列 防火 墙 对 文件 的 操作 主要 有 以 下 几 类 : 
管理 目录 文件 


修复 文件 系统 异 创建 目录 mkdir 
i fixdisk 
常 的 存储 设备 dis 二 De 


格式 化 存储 设备 。 format 查看 当前 的 工作 目录 pwd 
管理 目录 /文件 改变 当前 目录 cd rename 


恢复 删除 文件 undelete ”删除 目录 rmdir 


delete 


除 回收 站 reset 


全 
彻底 删 

An 中 的 文件 

- 
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执行 批 处 理 文件 AN 





文件 系统 是 指 对 存储 设备 中 的 文件 、 目 录 的 管理 ， 包 括 创建 文件 系统 ， 创 建 、 删 除 、 
修改 、 更 名 文件 和 目录 ， 以 及 显示 文件 的 内 容 守 包括 以 下 部 分 : 


存储 设备 : 是 指 存储 文件 的 硬件 设备 ， 本 产品 目前 支持 的 存储 设备 为 闪存 卡 。 
文件 : 是 系统 存储 信息 的 个 体 ,通过 对 文件 的 操作 来 实现 对 信息 的 管理 。 
目录 : 是 文件 的 一 个 整体 集合 ， 是 文件 的 逻辑 上 的 容器 。 


文件 系统 - Web 操 作 


。 在 web 界 面 下 对 系统 文件 的 操作 更 为 简便 ， 可 直接 进行 保存 、 删 除 
、 复 制 等 操作 。 


。 例如 : 


配置 文件 信息 


当前 配置 文件 NULL 


下 次 启动 配置 文件 NULL 





配置 文件 管理 
固 下 凋 器 扣除 动 剧 新 


文件 名 文件 大 小 ( 宇 节 ) 最 后 修改 时 间 

flash:/ssl_vypn_cfg zip 1747 2011/09/29 12:22:56 
flash-Nrpctg zip 0 2013/11/20 20:09:15 
fashy1zip 1236 2013/05/22 15:03:24 
flashjsamoa cfg 5062 2013/11/04 13:55:54 





返回 
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如 图 所 示 ， 在 对 防火 墙 配置 文 件 进行 管理 时 可 直接 点 击 “ 选 择 ”， 查 看 到 设备 上 已 
保存 的 配置 文件 ， 对 其 进行 删除 、 修 改 、 应 用 等 操作 。 也 可 点 击 “ 上 传 ”， 上 传 一 个 新 的 
配置 文件 。 


备份 及 恢复 配置 文件 


。 备份 与 恢复 配置 文件 可 以 有 以 下 四 种 方式 : 
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设备 启动 时 会 读 取 配置 文件 进行 系统 的 初始 化 工作 ， 该 配置 文件 中 的 配置 称 为 启动 配 
置 。 与 启动 配置 相对 应 ， 设 备 运行 过 程 中 正在 生效 的 配置 称 为 当前 配置 。 用 户 对 设备 所 做 
的 修改 会 即时 生效 ， 但 不 会 自动 保存 到 配置 文件 中 ， 这 些 修改 在 设备 断 电 后 会 丢失 ， 所 以 
在 完成 所 有 修改 后 请 使 用 save 命令 保存 配置 。 本 节 所 做 的 备份 和 恢复 工作 针对 的 是 配置 文 
件 ， 需 要 重启 后 才 会 生效 。 


。 使 用 FTP/TFTP 服 务 器 备份 和 恢复 配置 文件 (推荐 ) 

需要 配置 FTP/TFTP 软 件 汉 将 配置 文件 保存 在 服务 器 上 。 适 用 于 较 多 设备 的 配置 集中 
维护 的 情况 。 
。 设备 作为 FTP 服 务 器 备份 和 恢复 配置 


不 需要 配置 FTR 软 件 > 不 过 需要 在 设备 上 配置 FTP Server 功 能 。 开 放 FTP 端 口 会 给 设 
备 带 来 一 定 的 安全 隐患 


。 将 配置 文件 备份 在 设备 的 存储 器 上 


操作 简单 ,~ 不 需要 安装 其 他 软件 。 如 果 备 份 在 相同 存储 介质 上 ， 可 能 导致 主 用 和 备份 
配置 文件 同时 损坏 。 


。 通过 Web 备 份 和 恢复 配置 
操作 简单 ， 需 要 提前 完成 web 登 录 的 配置 。 通 常 适用 于 桌面 型 接 入 网 关 。 


备份 与 恢复 配置 文件 举例 - CLI 


。 设备 做 FTP Server。 首 先 启用 FTP 功 能 并 设置 FTP 密 码 及 路 径 。 然 后 使 用 
get/put 命 令 下 载 或 上 传 文件 。 
[USG] ftp server enable 
Info: Start FTP server 以 
[USG] aaa 
[USG -aaal] local-user ftpuser password simple Ftppass# 
[USG -aaal] local-user ftpuser service-type ftp 


[USG -aaal] local-user ftpuser ftp-directory hda1:/ 
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local-user ftp-directory 命 令 用 于 配置 FTPR 路 径 ， 该 路 径 为 设备 收 到 文件 的 保存 路 径 


备份 与 恢复 配置 文件 举例 - Web 


可 通过 从 本 地 上 传 配置 文件 来 
恢复 配置 文件 。 


fashysslL_vpn_cfgzip 2011/09/29 12:22.56 
flash-Nrpcfgzip 2013/11/20 20:09:15 
flash:/1.zip 2013/05/22 15:03:24 
flash/samoa.cg 2013/11/04 13:55:54 





版 本 升级 操作 - CLI 


。 升级 系统 文件 
[USG] startup system-software V300R001C00SPC100.bin 。 


@ 
Db 
到 


。 升级 补丁 文件 
[USG] patch load patch.pat 
[USG] patch active patch.pat 
[USG] patch run patch.pat 
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无 论 是 对 系统 文件 还 是 补丁 文件 进行 操作 时 有 水 都 需要 先 将 文件 用 FTP 或 其 他 方式 将 文 
件 上 传 至 设备 存储 中 。 


采用 命令 行 对 系统 文件 进行 升级 时 入 需 运 行 reboot 命 令 重启 设备 才能 生效 。 系 统 软件 
必须 以 “.bin "作为 扩展 名 ， 且 不 支持 中 文 。 


patch load 命 令 用 来 加 载 补丁 加 加 载 补 丁 时 ， 系 统 会 自动 对 该 补丁 进行 校 验 ， 以 验证 
该 补丁 和 主机 版 本 的 校 验 和 是 否 关 致 ， 如 果 不 一 致 ， 补 丁 将 加 载 失 败 ， 但 是 补丁 文件 名 还 
在 〈 只 要 原 补丁 处 于 运行 状态 JS。 


patch active 命 令 用 来 激活 处 于 非 激 活 状 态 的 补丁 。 使 用 该 命令 时 ， 如 果 补 丁 不 存在 
将 提示 失败 。 补丁 被 激活 后 ， 并 没有 生效 ， 还 需要 对 其 进行 运行 操作 。 激活 态 的 补丁 在 
系统 重启 后 将 恢复 为 非 激活 态 。 

patch run 命 令 用 来 运行 补丁 。 使 用 该 命令 时 ， 被 运行 的 补丁 必须 处 于 激活 态 。 如 果 
补丁 不 存在 或 处 于 去 激活 态 将 提示 失败 。 如 果 设 备 的 补丁 未 被 删除 ， 系 统 重新 启动 后 ， 只 
有 运行 态 的 补丁 会 自动 恢复 。 

对 补 下 文件 的 操作 命令 还 有 patch deactive 以 及 patch delete。patch deactive 命 令 
用 于 去 激活 补丁 。patch delete 命 令 用 来 删除 补丁 。 执 行 此 命令 后 ， 不 论 补丁 处 于 任何 状 
态 Y 都 将 被 删除 。 


对 补丁 文件 的 操作 不 需要 重启 设备 即 可 生效 。 


版 本 升级 操作 - Web 


在 线 升 级 分 为 通过 内 网 服务 器 
升级 或 通过 安全 服务 中 心 升 级 。 





升级 后 保存 新 的 知识 库 文件 | 启用 
自动 升级 周期 90 


当 设备 无 法 访问 安全 服务 中 心 
时 ， 可 以 进行 本 地 升级 。 
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在 web 界面 下 对 设备 系统 文件 的 操作 更 为 方便 快捷 。 在 “系统 > 维护 > 系统 更 新 ”中 
， 可 完成 对 系统 文件 和 补丁 文件 的 升级 / 气 键 升级 。 


在 线 升 级 分 为 通过 内 网 服务 器 升级 或 通过 安全 服务 中 心 升级 : ”通过 内 网 服务 器 : 指 在 
内 网 部 署 一 人 台 升 级 服务 器 ， 定 期 从 安全 服务 中 心 下 载 库 文件 ， 并 保存 在 HTTP 服 务 器 根 目录 
下 。 普 通 PC 通 过 访问 升级 服务 器 完成 升级 。 此 时 ， 升 级 服务 器 上 需要 配置 LUS (Live 
Update Server) 。 有 关 LUS 的 配置 过 程 ， 请 参见 LUS 的 帮助 。 


通过 安全 服务 中 心 升级 %、 指 设备 连接 到 安全 服务 中 心 下 载 病 毒 库 和 IPS 签 名 库 。 


全 目录 


1 。 其 人 第 班 方 式 


2. AAA 方式 设备 管理 
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Radius 方 式 介绍 


。 Radius 协议 实现 
o RADIUS 使 用 UDP (User Datagram Protocol) 作为 传输 协议 ， 具 有 良 
好 的 实时 性 ; 同时 也 支持 重 传 机 制 和 备用 服务 器 机 制 ， 从 而 具有 较 好 的 
可 靠 性 。 
。 RADIUS 的 消息 结构 如 图 所 示 


0 15 


1 Identifier | Length 











3 Authenticator 











Attribute | | 
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AAA 可 以 用 多 种 协议 来 实现 ， 最 常用 的 是 RADIUS 协议 。RADIUS 广 泛 应 用 于 网 络 接 入 
服务 器 NAS (Network Access Server) 和 系统 。NAS 负 责 把 用 户 的 认证 和 计 费 信息 传递 给 
RADIUS 服 务 器 。RADIUS 协 议 规定 了 NAS 与 RADIUS 服 务 器 之 间 如 何 传递 用 户 信息 和 计 费 信 
息 以 及 认证 和 计 费 结果 ，RADIUS 服 务 器 负责 接收 用 户 的 连接 请 求 ， 完 成 认证 ， 并 把 结果 
返回 给 NAS 。 


RADIUS 的 实现 比较 简单 ， 适 用 于 大 用 户 量 时 服务 器 端的 多 线程 结构 。 


网 络 接 入 服务 器 作为 RABINS 检 议 的 客户 端 ， 可 以 实现 标准 RADIUS 协 议 及 扩充 属性 ， 
包括 RFC2865、RFC2866， 以 及 华为 扩展 的 私有 属性 。 


计 费 结束 报 文 的 本 地 缓存 重 传 功能 : 计 费 结束 报 文 在 重 传 发 送 失败 次 数 超 过 配置 次 数 
后 ， 将 计 费 结束 报 文 保存 到 计 费 结束 报 文 缓存 队列 ; 系统 定时 器 周期 扫描 该 队列 ， 如 果 存 
在 计 费 结束 缓存 报 文 准则 取出 报 文 内 容 ， 向 指定 的 服务 器 发 送 并 启动 定时 器 等 待 ， 如 果 发 
送 失败 或 在 超时 时 间 内 没有 收 到 服务 器 回应 ， 则 重新 入 缓存 队列 。 


Radius 协 议 中 各 字段 的 含义 简单 说 明 如 下 : 
。 Code*、 消 息 类 型 ， 如 接 入 请 求 、 接 入 允许 等 。 
。 yldentifier: 一 般 是 顺序 递增 的 数字 ， 请 求 报 文 和 响应 报 文 中 该 字段 必须 匹配 。 
。 “Length: 所 有 域 的 总 长 度 。 
。、Authenticator: 验证 字 ， 用 于 验证 RADIUS 的 合法 性 。 
。 ”Attribute: 消息 的 内 容 主体 ， 主 要 是 用 户 相 关 的 各 种 属性 。 


Radius 认 证 和 计 费 


。 Radius 服 务 器 通过 建立 一 个 唯一 的 用 户 数据 库 ， 存 储 用 
户 名 、 密 码 来 对 用 户 进 行 验证 。 


6 


管理 PC USG RadiusiServer 


= 1) Username 
= ! Ce 让 (2) Request 
二 Spm 
~» 
(3) Response 
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RADIUS 客 户 端 与 服务 器 间 的 消息 流程 如 下 : 

用 户 登 录 USG 或 接 入 服务 器 等 网 络 设备 时 ， 会 将 用 户 名 和 密码 发 送 给 该 网 络 接 入 服务 
器 ， 

该 网 络 设备 中 的 RADIUS 客 户 端 =《 网 络 接 入 服务 器 ) 接收 用 户 名 和 密码 ， 并 向 RADIUS 
服务 器 发 送 认 证 请 求 ; 

RADIUS 服务 器 接收 到 合法 的 请 求 后 ， 完 成 认证 ， 并 把 所 需 的 用 户 授权 信息 返回 给 客户 
端 ， 对 于 非法 的 请 求 各 RABIUS 服 务 器 返回 认证 失败 的 信息 给 客户 端 。 


sk 


© Nm oa Fw ND 


Radius 应 用 场景 


管理 PC 


USG 
ey (1) Username 二 
县 Password 起 导 
> 
| > 


用 户 输 入 用 户 名 /口令 





Radius Server 


(2) Request = 
(3) Response 


Access-Request 





Access-Accept 





Accounting-Request (starf) 





Accounting-Response 





Accounting-Request (stop) 





Accounting-Response 





通知 访问 结束 
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Radius 报 文 交互 流程 如 下 : 


用 户 输入 用 户 名 密码 

认证 请 求 

认证 接受 

计 费 开始 请 求 

计 费 开始 请 求 响应 报 文 

用 户 访问 资源 

计 费 结束 请 求 报 文 

计 费 结束 请 求 响应 报 文 

访问 结束 

Code 为 包 类 型 。 包 类 型 占 1 个 字 节 ， 定 义 如 下 : 





Access-Redquest 一 一 请 求 认 证 过 程 
Access-Accept 一 一 认证 响应 过 程 
Access-Reject 一 一 认证 拒绝 过 程 

请 求 计 费 过 程 
Accounting-Response 一 一 计 费 响应 过 程 


Accounting-Request 





Access-Challenge 一 一 访问 质询 
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Radius 配 置 实例 (CLI) 


配置 RADIUS 服务 器 主要 包括 新 建 RADIUS 服务 器 模板 ， 在 模板 视图 下 指定 
认证 、 授 权 、 计 费 服务 器 的 IP 地 址 ， 以 及 调整 RADIUS 服务 器 的 参数 。 

在 AAA 配置 中 配置 当前 域 的 RADIUS 服务 器 模板 。 所 指向 的 RADIUS 服务 器 
模板 必须 已 经 配置 完成 并 存在 。 以 
[USG] aaa 

[USG -aaa] domain domain1 


[USG -aaa-domain-domain1] radius-server server 
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Radius 服务 器 模板 配置 举例 : 

[USG] radius-server template server 

[USG-radius-server] radius-server authentication 1.1.1.1 1812 
[USG-radius-server] radius-serverauthentication 2.2.2.2 1812 secondary 
[USG-radius-server] radius:server accounting 1.1.1.1 1645 
[USG-radius-server] radius-server accounting 2.2.2.2 1645 secondary 
[USG-radius-server] radius-server shared-key abcde 

[USG-radius-server] radius-server retransmit 4 


[USG-radius/sérver] radius-server timeout 6 


小 mm AN 


Radius 配 置 实例 (WEB) 


认证 服务 器 > RADIUS 服务 器 


新 建 RADIUS 服 务 器 
RADIUS 服务 器 名 称 RadiusServer 


认证 主 服务 器 IP 
认证 从 服务 器 IP 
计 费 主 服务 器 IP 
计 费 从 服务 器 IP 
加 高 级 选项 
重 传 次 数 字 节 格式 
应 答 超时 时 间 6 秒 服务 器 类 型 


NAS-Port 请 口 类 型 NAS-Port-ld 端 口 类 型 
计 费 停止 报 文 重 传 局 用 
用 户 名 格式 包含 用 尸 组 名 称 





1812 
1812 
1645 


1645 


Byte 
9 标准 
SE 
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在 Web 配 置 界面 中 ， 配 置 Radius 服 务 器 的 操作 步骤 如 下 : 
选择 “用 户 > 认证 服务 器 > RADIUS 服务 器 ”。 

单 击 “RADIUS 服 务 器 列表 ”的 “新 建 ”。 

依次 输入 或 选择 各 项 参数 。 

单 击 “ 应 用 ”。 


<1-65535> 所 
<1-6553 编 
<1-6552°5% 
5 和 6 范 35 呈 
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HWTACACS 万 式 介绍 


HWTACACS 是 在 TACACS 基 础 上 进行 了 功能 增强 的 一 种 安全 协议 ， 主 要 
用 于 接 入 用 户 的 认证 、 授 权 和 计 费 。 
按 命令 行 授权 


管理 PC U 


TACACS seNef 


SG 
= Command A Author-cmd REQ 
二 一 一 -一 
吕 3 
mA 9 < 
Author-cmd ACK 
对 用 户 级 别提 升 进行 认证 


管理 PC USG TACACS Server 


ey Tel/SSH SS Super authen REQ 
二 一 一 
守 SE 
mA 站 一 一 
Super authemAC 
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按 命 令 行 授权 

用 户 通过 Telnet 或 者 SSH 登 录 到 USG 半 后 ， 如 果 需 要 对 该 用 户 输入 的 命令 行进 行 认 证 
， 可 以 将 该 级 别 用 户 的 命令 行 授权 方法 设置 为 HWTACACS ， 该 用 户 输入 的 每 一 条 命令 都 
要 通过 HWTACACS 服 务 器 授权 。%。 如 果 授 权 通 过 ， 命 令 就 可 以 被 执行 。 否 则 ， 
HWTACACS 服 务 器 输出 信息 ， 通 知 用 万 该 命令 的 授权 失败 ， 命 令 不 能 执行 。 

命令 行 授权 可 以 使 用 本 地 授权 的 方法 作为 备 选 方法 ， 这 样 ， 如 果 因 为 服务 器 的 问题 ( 
服务 器 Down、 不 可 达 或 回应 超时 ) 导致 命令 行 授权 失败 时 ， 可 以 将 命令 行 授 权 转 入 本 地 
授权 处 理 。 

如 果 在 用 户 配置 的 超时 时 间 内 ，USG 没 有 接收 到 HWTACACS 服 务 器 的 授权 结果 ， 则 
授权 超时 ， 该 命令 不 能 被 执行 。 

用 户 还 可 以 配置 服务 器 无 响应 或 本 地 未 配置 用 户 时 命令 授权 失败 的 策略 ， 可 以 选择 让 
用 户 继续 在 线 ;、 也 可 以 选择 授权 失败 次 数 超过 阅 值 后 下 线 。 

对 用 户 级 别提 升 进行 认证 


用 请 通过 Telnet 或 者 SSH 登 录 到 USG 后 ， 可 以 通过 在 用 户 模式 下 使 用 super 命 令 来 提 
升 自己 的 级 别 。 这 时 ，USG 对 用 户 的 密码 进行 验证 。 

HWTACACS 可 以 对 用 户 级 别 的 提升 进行 认证 ， 其 执行 流程 如 图 所 示 。USG 将 用 户 的 
密码 发 送 到 HWTACACS 服 务 器 上 进行 认证 ， 如 果 认 证 通过 ， 用 户 的 权限 就 可 以 得 到 提升 
， 耕 则 ， 用 户 的 权限 不 能 提升 。 特 权 等 级 更 改 的 结果 只 影响 本 次 登录 。 


HWTACACS 协 议和 RADIUS 协议 的 比 
较 


端口 使 用 使 用 TCP 协 议 ， 网 络 传输 更 | 使 用 UDP 协议 。 认 证 和 授权 端口 号 是 
可 靠 1812 和 1813， 或 者 1645 和 1646 


加 密 全 
应 用 适 于 进行 安全 控制 


配置 命令 授权 ”| 支持 对 配置 命令 进行 授权 ”| 不 支持 对 配置 命令 进行 授权 
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RADIUS 相 比 ，HWTACACS 具 有 更 加 可 靠 的 传输 和 加 密 特性 ， 更 加 适合 于 安全 控制 
。HWTACACS 协 议 与 RADIUS 协 议 的 主要 区 别 如 表格 所 示 。 


HWTACACS 配 置 实 例 (CLI) 


配置 HWTACACS 服 务 器 主要 包括 新 建 HWTACACS 服 务 器 模板 ， 在 模板 视 
图 下 指定 认证 、 授 权 、 计 费 服务 器 的 IP 地 址 ， 以 及 调整 HWTACACS 服 务 器 
的 参数 。 

配置 HWTACACS 服 务 器 也 需要 在 AAA 配置 中 配置 当前 域 的 HWTACAGS 服 
务 器 模板 。 
[USG] aaa 

[USG -aaa] domain domain1 


[USG -aaa-domain-domain1] hwtacacs-server server1 
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HWTACACS 服务 器 模板 配置 举例 : 

[USG] hwtacacs-server template server1 

[USG-hwtacacs-server1] hwtacacs:server authentication 3.3.3.3 10000 
[USG-hwtacacs-server1]hwtacacssserver authentication 4.4.4.4 10000 secondary 
[USG -hwtacacs-server1] hwtacacs-server authorization 3.3.3.3 10005 

[USG -hwtacacs-server 相 jhwtacacs-server authorization 4.4.4.4 10005 secondary 
[USG -hwtacacs-server1]hwtacacs-server accounting 3.3.3.3 10010 


[USG -hwtacacs-server1] hwtacacs-server accounting 4.4.4.4 10010 secondary 


小 mm AN 


HWTACACS 配 置 实例 (WEB) 


入 ”用户 》 认证 服务 器 > HWTACACS 服 务 器 


新 建 HWTACACS 服 务 器 


HWTACACS 服 务 器 名 称 hwtacacsServer 
认证 主 服务 器 IP 
认证 从 服务 器 IP 
授权 主 服务 器 IP 
授权 从 服务 器 IP 
计 费 主 服务 器 IP 
计 费 从 服务 器 IP 


园 高 级 选项 
源 IP 地 址 


应 答 超时 时 间 5 <1-30> 秒 
用 户 名 格式 V 包含 用 尸 组 名 称 


匀 
更 


共享 
口 
口 
口 
口 
口 
口 


端 
端 
注 
端 
端 
端 


字 节 格式 
恢复 激活 时 间 
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在 Web 配 置 界面 中 ， 配 置 HWTACACS 服 务 器 的 操作 步骤 如 下 : 


选择 “用 户 > 认证 服务 器 > HWTACACS 服 务 器 ”。 
单 击 “HWTACACS 服 务 器 列表 ”的 \“ 新 建 ”。 


依次 输入 或 选择 各 项 参数 。 
单 击 “应 用 7 


10000 
10000 
10005 
10005 


10010 


10010 
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sah553s> 


€ 
<1-65535> 
<1-65535> 
<1-65535 
-065535> 
ssd5> 


<1-255> 分 名 





Wb huawel 





全 目录 


1， 基 础 管理 方式 




















2，AAA 方 式 设备 管理 
3 密码 故障 恢复 
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密码 忘记 处 理 思路 





Telnet 登 陆 密码 遗志 〈1) RN 


。 AAA 方式 : 使 用 用 户 名 + 密码 方式 登录 。 


令 
。 该 配置 完成 后 用 户 可 以 使 用 用 户 名 'admitT 密码 
“Admin@123” 登 录 设备 。 入 
C Wb huawel 
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Telnet 协 议 可 以 对 设备 进行 远程 维护 省 引 人 有 Tenetg 友 丢失 只 能 通过 其 他 方 
式 登录 设备 后 重新 进行 配置 。 < 

ha tha 两 种 ， 在 配置 密码 时 必须 选择 其 中 一 种 。 如 
果 用 户 配 置 为 simple 方 式 ， 使 用 display current-configuration configuration user- 
interface 命 令 可 以 直接 查看 配置 的 密码 如 果 使 用 的 是 cipher 方 式 则 看 到 的 是 加 密 后 的 密 
文 ， 无 法 直接 阅读 。 六 从 





cs 
< 
< 


Telnet 登 陆 密码 遗志 (2) 


。 Password 方 式 : 只 使 用 密码 登录 。 





Telnet 登 陆 密码 遗 去 (3) 


。 None 方 式 : 不 需要 验证 即 可 登录 。 


SN 


。 该 配置 完成 后 ， 不 需要 用 户 名 和 密码 过 可 人 SSG 各。 


Wb huawel 





Console 密 码 忘记 (1) 


。 在 BootROM 中 配置 跳 过 Console 口 密码 登录 后 ， 重 新 进行 设置 : 


1.， 重启 设备 ， 出 现 “Press Ctrl+B to Enter Boot Menu..… 打印 信息 时 ， 
按 下 “Ctrl+B "并 键入 密码 “0O&m15213" 后 进入 BootROM 主 菜单 。 


在 主 菜单 中 或 隐藏 菜单 〈( 主 菜单 中 按 Ctrl+z 进 入 ) 中 选择 “Rece 
Console Password” 对 应 序号 。 


在 主 菜单 中 选择 “Reboot" 重 新 启动 。 
进入 系统 后 ， 配 置 Console 口 用 户 名 及 密码 。 
保存 修改 ， 重 启 后 可 以 使 用 新 的 用 户 名 和 密码 登录 。 
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部 分 设备 的 BootROM 提 供 了 清空 Console 周密 码 的 功能 ， 可 以 在 用 户 使 用 Console 口 
登录 的 时 候 跳 过 用 户 名 密码 检查 。 这 样 系统 启动 后 除了 不 需要 输入 console 密 码 外 ， 与 正 
常 启动 相同 ， 也 会 完成 所 有 配置 加 载 。 


请 注意 ， 要 进入 到 BootROM 菜 单 需要 重启 设备 ， 会 导致 业务 中 断 ， 请 视 具体 情况 做 好 
设备 备份 ， 并 尽量 选择 业务 量 较 少 的 时 间 操 作 。 清 空 Console 口 密码 登录 后 请 马上 配置 新 
的 密码 ， 否 则 登录 超时 或 重启 后 4 仍 需 要 清空 密码 来 登录 。 

在 第 二 步 中 ， 部 分 设备 显示 为 “Skip Console0 Password”， 该 选项 功能 作用 与 


“Recover Console Passwoerd 作用 相同 。 如 果 主 菜单 和 隐藏 菜单 均 没 有 类 似 选 项 ， 则 说 
明 设备 不 支持 跳 过 Consele 口 密码 登录 ， 请 选择 其 他 方法 解决 。 


Console 密 码 忘 记 〈2) 


。 使 用 “Reset" 键 采用 缺 省 配置 启动 后 ， 修 改 Console 口 密码 : 
. 按 住 设备 的 “Reset 键 ， 打 开 电 源 开 关 。 当 面板 指示 灯 以 2Hz 频 率 一 起 闪烁 的 时 候 ， 
松 开 “Reset 键 。 
完成 启动 后 ， 设 备 会 恢复 为 默认 的 出 三 配置 。 
. 配置 设备 为 FTP Server。 X 


. 查看 目前 设备 使 用 的 启动 配置 文件 。 可 以 看 到 下 次 启动 使 用 的 配置 文件 为 
hda1:/vrpcfg.cfg 


. 从 PC 上 下 载 设备 上 的 配置 文件 。 


. 在 PC 上 使 用 文本 编辑 工具 修改 配置 文件 内 容 ， 将 VTY 认 证 部 分 修改 为 none。 保 存 后 
关闭 。 


. 将 修改 后 的 配置 文件 上 传 回 设 备 ， 并 覆盖 原 有 配置 文件 。 
. 重启 设备 ， 选 择 不 保存 配置 。 
. 设备 完成 启动 后 ，Console 口 登录 不 需要 密码 。 
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如 果 设 备 的 BootROM 没 有 提供 清空 Console 辐 密码 功能 ， 可 以 使 用 “Reset" 键 采用 缺 
省 配置 进行 启动 。 启 动 后 将 配置 文件 导出 并 修改 Console 口 密码 ， 覆 盖 回 设备 上 的 配置 文 
件 ， 达 到 修改 登录 密码 的 效果 。 


FTP server 配 置 参 考 命令 : 








[USG] ftp server enable 
[USG] aaa 
[USG -aaal local-user ftpuser password simple Ftppass# 
[USG -aaa] local-user ftpuser service-type ftp 
[USG -aaal local=user ftpuser ftp-directory hda1:/ 
查看 下 次 启动 使 用 的 配置 文件 ， 使 用 display startup 命 令 。 
在 第 七 步 中 > 如 果 使 用 备份 的 配置 文件 覆盖 回 设 备 ， 则 可 以 实现 配置 恢复 功能 。 


总 结 


。 防火 墙 基 础 管理 方式 
。 使 用 AAA 方式 管理 防火 墙 
。 处 理 密 码 故障 的 方式 
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思考 题 
。 基本 的 防火 墙 管理 方式 有 哪些 ? 
。 Radius 和 HWTACACS 有 哪些 区 别 ? 


。 管理 饼 记 密码 应 该 怎么 处 理 ? 
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基本 的 防火 墙 管理 方式 有 哪些 ? 

答题 要 点 : Console、Telnet、SSH、HTTP 等 。 

Radius 和 HWTACACS 有 哪些 区 别 ? 

答题 要 点 : 从 端口 使 用 、 加 密 情况 、 认 证 和 授权 、 应 用 、 配 置 命 令 授权 进行 分 析 。 
管理 忘记 密码 应 该 怎么 处 理 ? 


答题 要 点 : 首先 确认 是 所 有 密码 均 忘 记 还 是 只 忘记 其 中 一 种 密码 。 忘 记 其 中 一 种 方式 
可 采用 已 知 的 另外 的 方式 恢复 s 忘记 所 有 的 可 选择 bootROM 等 方式 恢复 。 





@ 练 习题 


基本 的 防火 墙 管理 方式 有 哪些 ? 
Radius 和 HWTACACS 有 哪些 区 别 ? 


管理 忘记 密码 应 该 怎么 处 理 ? 
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习题 与 答案 : 

报 文 分 片 处 理 机 制 中 的 分 片 丢弃 是 指 防火 墙 收 到 攻击 报 文 时 ， 对 报 文 进行 分 片 后 丢弃 。 
答案 : 错误 

DHCP Snooping 攻 击 防范 技术 三 包 括 以 下 哪些 ? 

A. DHCP Server 仿 冒 者 攻击 

B. 中 间 人 攻击 与 IP/MACSpoofing 攻 击 

C. 改 变 CHADDR 值 的 DoS 政 击 

D. DHCP Client 念 冒 者 攻击 


答案 : AlBIC 


人 
Wo % 
化 


Thank you 
www.huawei.com 





HC120310002 
防火 墙 高 级 安全 特性 





@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 理解 防火 墙 限 流 策略 原理 与 配置 
o 理解 防火 墙 负 载 均 衡 原 理 与 配置 
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败 目录 


1， 防 火 墙 限 流 策略 
2. 防火 墙 负载 均衡 原理 
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流量 限制 


4 
对 指定 IP 或 者 网 络 发 起 对 指定 IP 或 者 网 络 的 


的 连接 数量 或 接收 的 连 会 话 带宽 进行 限制 。 
接 数 量 进行 限制 。 





。 连接 数 限 制 : 控制 指定 用 户 对 外 发 起 或 接收 的 会 请; 
。 带宽 限制 : 控制 指定 用 户 上 传 报 文 流量 和 下 载 报 文 
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限 流 策略 功能 包括 : 

0 |IP 连 接 数 限制 : 对 指定 IP 发 起 的 连接 数量 或 接收 的 连接 数量 进行 限制 ; 

0 |IP 带 宽 限 制 : 对 指定 IP 的 会 话 带宽 进行 限制 。 
连接 数 限制 能 达到 控制 用 户 对 外 发 起 攻击、 保证 其 他 正常 业务 的 转发 ， 带 宽 限 制 能 起 到 
均 化 网 络 流量 、 保 证 用 户 的 正常 访问 速率 、 辅 助 防范 网 络 攻 击 的 作用 ; 
防火 墙 上 的 带宽 和 连接 数 限制 均 有 八 个 级 别 ， 用 户 可 在 指定 范围 内 配置 连接 数 /带宽 限 
制 等 级 ， 结 合 ACL 限 制 连接 数 /带宽 。 


二 级 限 流 荣 略 


“每 |P 限 流 策略 ， 是 针对 每 个 IP 

〈 源 IP 或 者 目的 IP) 单独 进行 
限制 的 ， 其 中 策略 约束 条 件 包 
括 五 元 组 、 时 间 段 、 用 户 身份 
以 及 应 用 协议 。 
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。 每 IP 限 流 策略 (一 级 限 流 ) 
o 最 大 带宽 : 对 单个 IP 的 数据 流 进行 最 大 囊 宽 限制 。 
o 保证 带宽 : 对 单个 IP 的 数据 流 进行 保证 带宽 限制 。 
o 连接 数 : 对 单个 IP 的 数据 流 进行 最 大 连接 数 限制 。 
。 整体 限 流 策略 (二 级 限 流 ) 
o 最 大 带宽 : 对 整个 域 间 或 域内 的 数据 流 进行 最 大 带宽 限制 。 
o 最 大 连接 数 : 对 整个 域 间或 域内 的 数据 流 进行 最 大 连接 数 限制 。 


白 名 单 ACL 对 限 流 策略 的 影响 


限 连接 数 的 ACL 白 名 单 ACL 中 限 带宽 的 ACL 中 
中 Permit 的 IP deny 的 IP Permit 的 IP 


。 限 连 接 数 IP 地 址 范围 ; 
。 限 带 宽 IP 地 址 范围 ; 
。 即 受 连接 数 限制 又 受 带宽 限制 IP 地 址 范围 。 
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。 根据 限 济 策 略 的 处 理 流程 ， 在 流量 限制 功能 中 可 以 引用 以 下 几 种 ACL 来 匹配 流量 : 
oO ”用 来 限制 连接 数 的 ACL: 该 ACL 规 定 的 地 址 范围 中 ， 动 作为 permit 的 IP 会 被 限制 连 
接 数 ， 动 作为 deny 的 IP 不 受 影响 ; 
oO ”用 来 限制 带宽 的 ACL: 该 ACL 上 规定 的 地 址 范围 中 ， 动 作为 permit 的 IP 会 被 限制 带宽 
， 动 作为 deny 的 IP 不 受 影响 ; 
0 ” 白 名 单 ACL: 白 名 单 ACL 中 定义 为 deny 的 IP 不 会 受到 限 流 ， 所 以 即使 在 上 述 两 条 
ACL 中 ， 包 含 了 该 ACt 规 定 的 地 址 范围 县 动作 是 permit， 这 些 地 址 也 不 会 受到 限 
流 策略 功能 的 影响 。 在 白 名 单 中 定义 为 permit 的 IP 继 续 进 入 上 述 两 条 ACL 的 检查 
流程 。 
。 所 以 通常 在 创建 ACL 时 y 可 以 将 用 来 限制 连接 数 和 融 宽 的 ACL 的 地 址 范围 定义 得 比较 大 
， 再 通过 白 名 单 中 deny 的 IP 使 一 小 部 分 IP 不 受到 限 济 策略 的 影响 。 


流量 限制 处 理 流程 图 


流量 进入 设备 ， 提 取 IP 包 
头 信息 


比较 限 流 策略 的 匹配 条 件 


退出 处 理 流程 ， 不 限制 “| 按照 策略 动乱 进行 限制 。 


。 限 流 策略 匹配 顺序 : 
o 优先 级 越 高 ， 越 先 匹 配 
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域 间 可 以 应 用 多 条 限 流 策略 ， 按 照 策 略 列表 的 顺序 从 上 到 下 匹配 。 只 要 匹配 到 一 条 策 
略 就 不 再 继续 匹配 剩 下 的 策略 。 缺 省 情况 下 , 药 略 列表 按 策略 的 配置 顺序 排列 ， 越 先 配 置 
的 优先 级 越 高 、 越 先 匹 配 ， 但 是 也 可 以 手工 调整 策略 之 间 的 优先 级 。 


流量 限制 配置 流程 


启用 限 流 策略 功能 
二 选 一 或 选 二 〈 一 级 限 流 、 Lv 





配置 公共 对 象 
和 


ee 
[ 配置 登 |P 限 流 | 现下 整体 限 流 ] ha 
class class 
最 大 连接 数 

















M4 


vy 
[后 IP 限 流 策 | 创建 整体 限 泊 和 了 
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限 流 策略 的 配置 流程 如 图 所 示 ， 可 根据 实际 场景 配置 (一 级 限 流 、 二 级 限 流 ) ， 或 者 
二 者 都 配置 ， 来 对 流量 进行 控制 。 


配置 公共 对 象 包括 的 内 容 : 
oO ”配置 地 址 集 
0 ”配置 时 间 段 
Do ”配置 服务 集 ( 端 日) 
o ”配置 应 用 协议 集 
oO ”配置 用 户 
限 流 策略 与 公共 对 象 的 关系 如 下 : 
0 ”一 个 公共 对 象 可 以 被 多 个 限 流 策略 引用 。 


0 《一 个 限 流 策略 中 可 以 引用 多 个 公共 对 象 ， 流 量 只 要 匹配 其 中 一 个 对 象 就 会 命 
中 限 流 策略 。 


配置 每 1P 限 流 


。 启用 限 流 策略 功能 
traffic-policy enable 


。 进入 每 IP car-class 视 图 


car-class car-class-name type per-ip [ vpn-instance vpn-instance naniy/ 


。 配置 每 IP 类 型 的 car-class， 配 置 限 流 的 阅 值 


o 配置 最 大 带宽 和 保证 带宽 ， 保 证 带宽 不 大 于 最 大 带宽 。 二 者 值 范围 都 8 
10000000， 单 位 : kbps。 





car { max max-value | guaranteed guaranteed-value } ns 


o 配置 最 大 连接 数 。 取 值 范 围 是 1~1000000。 


connection-number connection-number 必 、 
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。 ”保证 带宽 是 每 个 IP( 用 户 ) 最 少 能 获得 的 带宽 = 然后 整体 网 络 中 的 所 有 IP (用 户 ) 再 通 
过 抢占 的 方式 ， 分 配 整体 剩 下 的 带宽 % 


。 ”保证 带宽 需要 与 整体 限 流 结合 起 来 使 用 A》 因为 对 于 单个 IP 而 言 ， 若 不 配置 其 所 在 网 络 
的 整体 限 流 ， 单 个 IP 的 最 大 带宽 就 相当 于 保证 带宽 ， 此 时 配置 保证 带宽 没有 意义 。 所 
以 ， 当 需要 应 用 保证 带宽 功能 时 ， 必 须 同时 配置 每 |IP 限 流 和 配置 整体 限 流 。 


。 每 IP 保 证 带宽 、 每 |P 最 大 市 宽 、/ 整 体 带宽 3 个 参数 之 间 的 关系 如 下 : 


0 必须 保证 每 IP 的 保证 带宽 的 总 值 要 小 于 整体 带宽 的 值 ， 这 个 需要 先 根 据 网 络 规划 
计算 保证 ， 保 证 带宽 的 总 和 不 超过 接口 的 总 带宽 ， 如 果 所 有 的 流量 加 起 来 超过 了 
运营 商 给 的 带宽 六 就 会 在 接口 处 随机 委 包 。 


0 一 般 情 况 下 配置 保证 带宽 的 时 候 只 配置 每 IP 保 证 带宽 、 整 体 带 宽 就 行 了 ， 如 果 还 
需要 限制 每 个 上 P 的 最 大 带宽 还 可 以 配置 每 IP 最 大 带宽 。 此 时 所 有 IP 的 最 大 带宽 的 
和 要 大 于 整体 带宽 ， 否 则 保证 带宽 无 意义 。 


0 整体 限 流 策略 和 每 IP 限 流 策略 控制 的 IP 范 围 需 一 致 ， 因 为 如 果 二 者 不 一 致 ， 当 整 
体 带 宽 较 小 时 ， 没 有 配置 保证 带宽 的 IP 会 因为 无 法 抢占 配置 了 保证 带宽 的 IP 的 流 
量 ， 而 导致 多 许 通过 流量 的 很 少 。 

当 需 要 对 茶 个 网 段 实现 整体 限 流 ， 又 要 实现 对 其 中 一 部 分 网 段 实现 应 用 协议 〈 例 如 : 
P2P 等 协议 ) 的 整体 限 流 ， 这 时 ， 需 要 结合 QOS 等 其 他 特性 功能 来 实现 对 应 用 协议 的 限 流 
。 当 配置 了 NAT、SLB 等 涉及 地 址 转换 的 功能 特性 时 ， 需 要 针对 真实 的 IP 地 址 进行 限 流 配 
置 。 


配置 每 1P 限 流 


。 根据 需要 选择 如 下 命令 进入 域 间 或 域内 每 IP 限 流 策略 视图 。 
o 进入 根 防 火 墙 或 虚拟 防火 墙 内 部 的 域 间 每 IP 限 流 策略 视图 
traffic-policy interzone [ vpn-instance vpn-instance-name] 7 


name1 zone-name2 { outbound | inbound } per-ip 

o 进入 跨 根 防 火 墙 和 虚拟 防火 墙 的 域 间 每 IP 限 流 策略 视图 
traffic-policy interzone zone-name1 vpn-instance vpn-instafies-name 
zone-name2 { outbound | inbound } per-ip 


o 进入 根 防 火 墙 或 虚拟 防火 墙 内 部 的 域内 每 IP 限 流 策略 视图 


traffic-policy zone [ vpn-instance De i per- 
ip 并 
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由 于 虚拟 防火 墙 的 所 有 安全 域 的 级 别 都 比 模 防 火 墙 的 高 ， 这 里 Inbound 表 示 从 根 防火 
墙 到 虚拟 防火 墙 的 域 间 ，Outbound 表 示 从 虚 氮 防火 墙 到 根 防火 墙 的 域 间 。 


配置 每 1P 限 流 


。 创建 限 流 策略 ， 并 进入 限 流 策略 的 配置 视图 。 
policy [ policy-id ] 
o 同一 个 策略 视图 下 可 以 为 不 同 的 流量 创建 不 同 的 策略 。 缺 省 情况 下 ， 越 先 配 置 的 

策略 ， 优 先 级 越 高 ， 越 先 匹 配 报 文 。 

o 各 个 policy 之 间 的 优先 级 关系 可 以 通过 命令 进行 调整 

。 (可 选 ) 配置 限 流 策略 的 CAR 类 型 为 针对 源 IP 或 者 目的 IP 进 行 每 | 已 限 流 
policy car-type { source-ip | destination-ip } AS 
o 缺 省 情况 下 ， 针 对 源 IP 进 行 限 流 。 

。 配置 每 IP 限 流 策略 引用 car-class 





policy car-class car-class-name 以 、 
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每 IP 限 流 策略 只 能 引用 每 IP 类 型 的 car-class 守 处 能 引用 整体 类 型 的 car-class。 


配置 每 1P 限 流 


。 (可 选 ) 指定 需 匹 配 流量 的 源 地 址 。 


。 (可 选 ) 指定 需 匹配 流量 的 目的 地 址 


。 (可 选 ) 配置 策略 生效 的 时 间 段 


。 (可 选 ) 指定 需 匹配 流量 的 服务 类 型 
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ee tt ni eee 定义 服务 集 。 自 定义 服务 集 是 通过 命令 
ip service-set 配 置 的 ， Wi 定义 的 。 


令 


& 


SS 
RN 
必 
OS 
RN 
~ 


配置 每 1P 限 流 


(可 选 ) 配置 策略 匹配 的 应 用 协议 类 型 。 
policy { app-set app-set-name | category category-name [ application 
application-name ] } 


a 
(可 选 ) 指定 匹配 流量 的 用 户 身份 ， 可 以 是 发 送 或 接收 流量 的 用 户 。 

policy { user user-name | user-group user-group-name } A 
配置 对 匹配 流量 的 采 动 作 

action { car | no-car } ~CN” 


(可 选 ) 开启 限 流 策略 丢 包 日 志 发 送 功 能 


traffic-policy discard packet log enable AmAv) 
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。 配置 策略 匹配 的 应 用 协议 类 型 时 : 


0 app-set-name 表 示 应 用 协议 集 , 闷 用 协议 集 需 事先 通 过 DPI 视图 下 的 app-set 命 令 
配置 方 可 被 引用 。 


D_ category-name 表 示 应 用 协议 大 类 ，application-name 表 示 应 用 协议 小 类 。 当 配置 
大 类 为 userdefine 时 ， 表 示 自 定义 应 用 协议 大 类 ， 后 面 必须 配置 自 定 义 应 用 协议 


小 类 。 
oO 当 配 置 基 于 应 用 协议 识别 的 限 流 时 ， 需 要 先 执行 命令 dpi enable， 开 启 DPI 功能 
。 配置 策略 后 ， 需 要 对 策略 进行 调整 ， 可 以 在 限 流 策略 视图 下 启用 或 者 禁用 一 条 策略 : 
o policy policy-id:{ enable | disable } 
。 调整 策略 优先 级 
9 将 策略 policy*id1 优 先 级 调整 到 策略 policy-id2 的 前 面 
policy move policy-id1 before policy-id2 
ce 将 策略 policy-id1 优 先 级 调整 到 策略 policy-id2 的 后 面 
policy move policy-id1 after policy-id2 


配置 整体 限 流 


。 启用 限 流 策略 功能 


。 进入 整体 car-class 视 图 < 
。 配置 整体 类 型 的 car-class， 配 置 基 于 源 的 整体 限 流 的 疼 值 


WI 


o 配置 最 大 带宽 。 取 值 范围 是 8 一 10000000。 单 位 : kbps OO 


o 配置 最 大 连接 数 。 取 值 范 围 是 1~1000000。 
® SN 


Wb huawel 





配置 整体 限 流 


。 根据 需要 选择 如 下 命令 进入 域 间 或 域内 每 IP 限 流 策略 视图 。 
o 进入 根 防 火 墙 或 虚拟 防火 墙 内 部 的 域 间 整 体 限 流 策略 视图 
traffic-policy interzone [ vpn-instance vpn-instance-name] 7 


name1 zone-name2 { outbound | inbound } shared 

o 进入 跨 根 防 火 墙 和 虚拟 防火 墙 的 域 间 整体 限 流 策略 视图 
traffic-policy interzone zone-name1 vpn-instance vpn-instaidaname 
zone-name2 { outbound | inbound } shared 


o 进入 根 防火 墙 或 虚拟 防火 墙 内 部 的 域内 整体 限 流 策略 视图 


traffic-policy zone [ vpn-instance vpn-instance- ne-name 
shared 加 


o 其 他 配置 与 每 IP 限 流 配置 一 致 。 
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如 果 配 置 了 vpn-instance vpn-instance-name 参 数 表示 进入 虚拟 防火 墙 的 域 间 或 域内 
整体 限 流 策略 视图 。 


检查 限 流 策 略 配 置 


。 查看 car-class 的 配置 信息 


。 查看 所 有 限 流 策略 的 配置 信息 


。 查看 某 个 域 间 的 限 流 策略 的 配置 信息 





检查 限 流 策 略 配 置 


查看 每 IP 限 流 策略 的 统计 信息 。 


查看 整体 限 流 策略 的 统计 信息 。 


清除 限 流 策略 的 统计 信息 
入 





查看 限 济 策略 信息 
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。 ”查看 命中 策略 的 流量 统计 信息 © 
<USG> display traffic-policy statistic eee 


Current total node: 1 


IP Address Type Vrf-SDstVrf SrcZone->DstZone PolicylD 


3.4.0.15 © public->public trust->untrust 0 
1/86 


配置 举例 


。 组 网 需求 : 
口 Trust 区 域 中 内 网 用 户 是 192.168.1.0/24 网 段 ， 可 以 访问 Internet， 总 
宽 为 400M ， 需 要 保证 内 网 每 个 用 户 至 少 可 以 获取 1M 的 下 载 带 宽 ， 最 大 
为 2M。 


PC Outbound 


二 
192.168.1.2/24 “~、 
下 Hntrust 


Internet 
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。 ”配置 思路 
1， 配置 各 个 接口 的 P， 并 加 入 相应 的 安全 区 域 。 
2， 配 置 域 间 包 过 滤 和 路 由 ， 保 证 网 络 基本 通信 。 
3， 配 置 NAT 功 能 ， 使 内 网 用 户 能 访问 外 网 。 
4. 启用 限 流 策略 功能 。 
5， 配置 整体 限 流 功 能 , ge 限制 内 网 用 户 总 囊 宽 。 
6.， 配置 每 IP 限 流 功能 ， 限 制 每 个 IP 的 保证 带宽 和 最 大 带宽 。 


关键 配置 


启用 限 流 策略 功能 。 
[USG] traffic-policy enable 


在 Trust 到 Untrust 的 inbound 方 向 上 配置 整体 限 流 策略 1， 引 用 car= 
class class1， 限 制 总 的 下 载 带宽 为 400M 。 


[USG] car-class class1 type shared 

[USG-shared-car-class-class1] car 400000 

[USG] traffic-policy interzone trust untrust inbound shared 
[USG-traffic-policy-interzone-trust-untrust-inbound-shared] policy 1 
[USG-traffic-policy-interzone-trust-untrust-inbound-shared-1] policy car-class class1 


[USG-traffic-policy-interzone-trust-untrust-inbound-shared-1] policyjdestination 192.168.1.0 
0.0.0.255 


[USG-traffic-policy-interzone-trust-untrust-inbound-shared-1] action car 
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policy car-class 命 令 用 于 配置 限 流 策略 引用 的 car-class。 每 |IP 限 流 策略 只 能 引用 每 IP 
类 型 的 car-class， 不 能 引用 整体 类 型 的 car-class; 整体 限 流 策略 只 能 引用 整体 类 型 的 car- 
class， 不 能 引用 每 I|P 类 型 的 car-class。 


关键 配置 


。 在 Trust 到 Untrust 的 inbound 方 向 上 配置 每 IP 限 流 策略 2， 引 用 Car- 
class Clqss2， 限 制 每 个 IP 的 下 载 保证 带宽 为 1M， 最 大 带宽 为 2M。 
[USG] car-class class2 type per-ip 
[USG-per-ip-car-class-class2] car guaranteed 1000 max 2000 &X 
[USG] traffic-policy interzone trust untrust 2inbound per-ip 
[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip] policy 


[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-2] policy car-type 
destination-ip 


[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-2] policy destination 
192.168.1.0 0.0.0.255 


[USG-traffic-policy-interzone-trust-untrust-inbound-per-ipz2] policy car-class 
class2 


[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-2] action car 
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全 目录 


1， 防火 墙 限 流 策略 
2. 防火 墙 负载 均衡 
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负载 均衡 概述 


。 负载 均衡 实现 了 将 访问 同一 个 IP 地 址 的 用 户 流量 分 配 到 不 同 服务 器 
上 的 功能 。 


。 负载 均衡 可 以 采用 以 下 方法 ， 将 用 户 流量 分 配 到 多 人 台 服 务 器 : 
o 虚 服 务 技术 X 


o 服务 器 健康 性 检测 
口 基于 流 的 转发 
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负载 均衡 ， 即 设备 按照 配置 的 算法 ， 将 访问 同一 个 IP 地 址 的 用 户 流量 分 配 到 不 同 的 服 
务 器 上 。 在 访问 用 户 看 来 ， 他 们 访问 的 是 辐 一 个 服务 器 ， 而 实际 上 设备 将 他 们 的 请 求 分 送 
给 了 不 同 的 服务 器 进行 处 理 。 这 样 不 但 可 以 分 别 利用 各 个 服务 器 的 处 理 能 力 ， 达 到 流量 分 
担 的 目的 ， 而 且 保 障 了 服务 器 的 可 用 性 , 得 到 最 佳 的 网 络 扩展 性 。 


虚 服 务 技术 


。 实际 的 服务 器 被 称 作 真 实 服务 器 ， 每 一 个 真实 服务 器 有 不 同 的 私 网 IP 地 址 

( 即 实 IP 地 址 ) ,但 是 所 有 真实 服务 器 对 外 表现 为 一 个 公 网 IP 地 址 。 这 个 

公 网 IP 地 址 对 应 一 个 虚 服 务 器 ，USG 将 访问 虚 服 务 器 的 流量 按照 预先 配置 

的 负载 均衡 算法 分 配 到 每 一 个 真实 服务 器 。 了 以 
Cs Rserver1 


了 Rserver2 
Vserver1 


Vserver2 Rserver3 














了 Rserver4 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved Page 24 SS 多 HUAWEI 





为 方便 管理 ， 在 虚 服 务 器 (Vserver),。 和 真实 服务 器 (Rserver) 之 间 通 过 服务 器 组 
Group 进 行 衔接 。Group 是 一 个 逻辑 概念 。USG 通 过 Group 对 真实 服务 器 进行 管理 ， 提 供 
网 络 服务 。 


采用 虚 服 务 技 术 有 如 下 优点 : 
。 ”节约 公 网 IP 地 址 
。 ”提高 系统 的 安全 性 
。 提高 系统 的 可 扩展 性 


基于 流 的 转发 


。 USG 可 以 通过 指定 的 算法 ， 将 数据 流 分 发 到 各 个 真实 服务 器 
进行 处 理 。 

。 USG 支 持 的 三 种 负载 均衡 算法 : YX 
o 源 地 址 哈 希 算法 ( srchash ) 
o 简单 轮 询 算法 ( roundrobin ) 


o 加 权 轮 询 算法 〈 weightrr ) 
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服务 器 健康 性 检测 是 指 USC 向 真实 服务 器 发 送 健康 性 检测 报 文 ,周期 性 探测 真实 服务 器 
。 如 果 能 收 到 真实 服务 器 回应 的 报 文 ， 说 明 真 实 服务 器 可 用 ; 如 果 多 次 收 不 到 服务 器 的 回 
应 报 文 ， 将 禁止 使 用 该 真实 服务 器 ， 将 流量 按 配 置 好 的 策略 分 配 到 其 他 真实 服务 器 上 。 


负载 均衡 配置 命令 1) 


。 启用 负载 均衡 功能 
slb enable 

。 进入 slb 视图 ， 配 置 真实 服务 器 
Rserver rserver-id [ to end-rserver-id ] rip ip-address [ active | 
inactive | healthchk ] [ weight weight ] [ description text ] [ KS 


instance vpn-instance name ] 
。 创建 并 进入 服务 器 组 视图 
group group-name [ vpn-instance vpn-instance name ] 
。 设置 负载 均衡 算法 
SS 
Metric { roundrobin | srchash | weightrr } 。 <、 


了 


™ 
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对 于 多 个 真实 服务 器 ， 真 实 服务 器 需 处 在 同一 网 段 和 安全 区 域 中 。 
配置 to end-rserver-id 时 ， 真 实 服务 器 ID 加 1 递增 ， 真 实 服务 器 地 址 同时 加 1 递增 。 如 
真实 服务 器 地 址 不 连续 递增 ， 则 需 一 个 所 个 配置 。 


配置 active， 表 示 不 对 真实 服务 器 进行 健康 状态 检查 ， 强 制 配置 真实 服务 器 为 健康 状 
A 


No 


配置 inactive， 表 示 不 对 真实 服务 器 进行 健康 状态 检查 ， 强 制 配 置 真 实 服务 器 为 不 健 
康 状态 。 

配置 healthchk, 表示 对 真实 服务 器 进行 健康 状态 检查 。 缺 省 情况 下 ， 配 置 为 
healthchk。 


配置 weight Weight， 表 示 真 实 服务 器 的 权重 ，USG 可 根据 服务 器 的 权重 判断 数据 流 应 
该 流向 哪 一 台 服 务 器 。 


负载 均衡 配置 命令 〈2 1) 


。 将 真实 服务 器 添加 到 指定 服务 器 组 
Addrserver rserver-id [ to end-rserver-id ] [ vpn-instance vpn-instance 
入 


name ] An 
。 配置 虚拟 服务 器 X 


vserver vserver-name vip ip-address group group-name [ {t } 
[vport vport-number [ rport rport-number ] [ vrrp virtual-rou ]][ 


vpn-instance vpn-instance name ] As 
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配置 虚拟 服务 器 时 ， 这 里 的 ip-address 为 虚拟 服务 器 的 IP 地 址 ， 配 置 完 该 项 之 后 ， 用 
户 可 以 通过 访问 该 地 址 ， 达 到 对 真实 服务 器 流量 负载 均衡 的 目的 。group-name 对 应 为 上 文 
中 真实 服务 器 组 。 

可 以 通过 配置 tcp 或 者 udp 来 限制 服务 器 的 会 话 协议 类 型 ; 同时 ， 可 以 通过 配置 vport 
vport-number 和 和 rport rport-numbel 来 党 格 控制 真实 服务 器 和 虚 服 务 器 的 访问 端口 。 

当 设 备 同时 应 用 于 双 机 热 备 组 网 时 ， 需 要 配置 vrrp 关 键 字 ， 且 Virtual-router-id 为 出 接 
口 对 应 的 VRRP 备 份 组 的 ID。 


配置 完 SLB 后 USG 会 自动 对 外 发 布 虚 服 务 器 IP 地 址 的 路 由 信息 ， 故 无 需 配 置 与 虚 服务 
器 IP 地 址 相关 的 路 由 。 


虚拟 服务 器 IP 地 址 不 允许 和 真实 服务 器 或 USG 接 口 的 IPP 地 址 相同 。 


负载 均衡 配置 举例 


。 组 网 需求 
o 某 内 部 网 络 中 存在 三 台 真实 服务 器 对 外 提供 FTP 服 务 ，IP 地 址 分 别 为 10.1.1.3/24 
、10.1.1.4/24 和 10.1.1.5/24， 对 外 的 虚拟 IP 地 址 为 202.2.2.2/24。 要 求 配置 USG 
的 负载 均衡 功能 ， 保 证 经 过 USG 的 流量 负载 均衡 。 以 


PC Server1 
4 2.2.3/24 Ofst.3/24 


Sever2 
VIP:202.2.2.2/24 10. 下 4.4/24 了 


10.1.1.5 /24 


仿 Nm 
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负载 均衡 配置 


1， 防火 墙 基础 配置 。 
2， 局 用 负载 功能 。 


[USG] slb enable 

[USG] slb 

[USG-slb] rserver 1 rip 10.1.1.3 weight 32 
[USG-slb] rserver 2 rip 10.1.1.4 weight 16 
[USG-slb] rserver 3 rip 10.1.1.5 weight 32 
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防火 墙 基本 配置 包括 : 配置 接口 IP 地 址 ， 将 接口 加 入 安全 区 域 ， 配 置 域 间 包 过 滤 规 则 


负载 均衡 配置 (CLI) 


3， 配置 真实 服务 器 加 入 负载 均衡 组 。 
[USG-slb] group test 
[USG-slb-group-test] metric srchash 
[USG-slb-group-test] addrserver 1 
[USG-slb-group-test] addrserver 2 
[USG-slb-group-test] addrserver 3 

。 说 明 : 

o_metric 命 令 用 来 配置 负载 均衡 算法 。 其 配置 参数 包含 : 

" Roundrobin 
" Srchash 


" Weightrr 
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roundrobin 表 示 简 单 轮 询 算法 : 轮 询 选择 服务 器 ， 比 如 第 一 条 数据 流 选 择 第 一 个 服务 
器 ， 第 二 条 数据 流 选 择 第 二 个 服务 器 。 

srchash 表 示 源 地 址 哈 希 算法 : 根据 报 文 源 IP 地 址 来 选择 服务 器 ， 相 同 源 IP 地 址 数据 流 
选择 同一 个 服务 器 。 

weightrr 表 示 加 权 轮 询 算法 : 根据 各 服务 器 配置 的 权 值 轮 询 选择 服务 器 ， 比 如 第 一 个 
服务 器 权 值 为 1{， 第 二 个 服务 器 权 值 为 2， 设 备 处 理 三 个 数据 流 时 ， 其 中 一 个 数据 流 选择 第 
一 个 服务 器 ， 另 外 两 个 数据 流 选 择 第 二 个 服务 器 。 


负载 均衡 配置 (CLI) 


4. ”配置 虚 服 务 器 IP 地 址 和 端口 号 ， 以 及 真实 服务 器 的 端口 号 。 
[USG-slb] vserver test vip 202.2.2.2 group test tcp vport 21 rport 21 


<USG> display firewall session table 

Current total sessions : 3 

ftp VPN:public --> public 202.2.2.3:3327-->202.2.2.2:21F10% 

ftp VPN:public --> public 202.2.2.3:3327-->202.2.2.2.21[1031.1.5: 
ftp VPN:public --> public 202223327_>20222 00 ONEG:21 
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负载 均衡 配置 (WEB) 
防火墙》 NAT 》 饥 载 均衡 》 


虚 服 务 器 名 称 
虚 服 务 器 IP 


配置 负载 均 
衡 算法 


<1|25s> 
配置 实 服务 器 se 权 值 <1.63> 连接 控制 
IP 地 址 及 权 值 10115 2 ee 


10.1.1.3 32 自动 检测 


和 社 乱 : 应 服 分 普 迷 有 全 人 少 要 包 癌 一 个 头 服 分 莽 。 旭 及 且 互 旧 服 分 竹 蕊 梳 呈 他 应 民 分 疼 绚 正 ， 
该 庶 拟 服务 器 IP 必 须 与 其 地 虚拟 服务 器 IP 一 致 ， 且 协议 和 端口 最 不 相同 号 否 则 ， 当 该 虚拟 服务 器 IP 与 其 
他 虚拟 服务 器 IP 冲 突 时 ， 必 须 配 置 协议 和 端口 号 使 之 与 其 他 庶 服 务 器 不 相同 或 者 更 换 IP。 

38 | NY 
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在 Web 配 置 界面 中 ， 选 择 “ 防 火 墙 > NAT 污 负 载 均衡 ”， 选 中 “负载 均衡 功能 ”后 
对 应 的 “启用 ” 复 选 框 ， 单 击 “ 应 用 ”。 


选择 “防火 墙 > NAT > 负载 均衡 "”、 在 \“ 负 载 均 衡 列表 ”中 ， 单 击 “ 新 建 ”， 依 次 输 
入 或 选择 各 项 参数 。 


参数 中 ， 协 议 表 示 负 载 均 衡 的 报 文 协议 类 型 ， 配 置 此 参数 后 对 此 协议 的 报 文 进 行 负载 
均衡 。 取 值 范 ny 对 任意 报 交 均 进 行 负 载 均衡 ; tcp: 对 TCP 报 文 进行 负载 均衡 ; 
udp: 对 TUDP 报 文 进行 负载 均衡 。 


算法 为 对 流量 进行 负载 均衡 时 所 使 用 的 算法 。 可 选择 roundrobin( 简 单 轮 询 算法 ， 即 各 
个 实 服务 器 平均 分 配 流量 六 weightrr( 加 权 轮 询 算法 ， 即 按照 各 个 实 服务 器 权 值 的 大 小 分 配 
流量 ， 权 值 越 大 分 担 的 流量 就 大 ， 反 之 越 小 )，srchash( 源 地 址 哈 希 算法 ， 即 同一 个 源 IP 地 
址 流量 会 分 配 到 同一 个 实 服务 器 上 )。 


实 服务 器 后 的 权 值 表示 真实 服务 器 的 权重 设备 可 根据 服务 器 的 权重 判断 数据 流 应 该 流 
向 哪 一 台 服 务 器 。 处理 能 力 弱 的 服务 器 应 配置 的 权 值 较 小 。 


连接 控制 表示 对 实 服务 器 的 连接 状态 进行 控制 。 共 有 三 种 连接 控制 方式 : 
。 自动 检测 : 对 于 实 服务 器 进行 自动 检测 连接 分 担 流量 。 
。 飞 保持 连接 : 配置 实 服务 器 保持 和 网 络 的 连接 ， 分 担 流量 。 
。 、 断 开 连 接 : 配置 实 服务 器 断 开 网 络 ， 不 分 担 流量 。 


总 结 


。 防火 墙 限 流 原 理 与 配置 


。 防火 墙 负载 均衡 原理 与 配置 
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流量 限制 配置 的 思路 是 什么 ? 
每 IP 限 流 和 整体 限 流 有 什么 区 别 ? 
什么 是 负载 均衡 ? 
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流量 量 限 制 配 置 的 思路 是 什么 ? 


答题 要 点 : 首先 需要 启用 限 流 功 能 ， 然 后 再 根据 不 同 的 流量 策略 选择 使 用 整体 限 流 还 
是 每 PP 限 流 再 进行 后 续 配置 。 


每 IP 限 流 和 整体 限 流 有 什么 区 别 2 


答题 要 点 : 每 IP 限 流 是 根据 单独 的 IP 地 址 进行 限 流 ， 整 体 限 流 是 根据 一 个 域 间 关系 的 
数据 流 进行 限 流 。 


什么 是 负载 均衡 ? 
答题 要 点 : 负载 均衡 实现 了 将 访问 同一 个 IP 地 址 的 用 户 流 量 分 配 到 不 同 服务 器 上 的 功 
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练习 题 


。 一 级 限 流 和 二 级 限 流 分 别 表示 哪 种 限 流 策略 ? 
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一 级 限 流 和 二 级 限 流 分 别 表示 哪 种 限 流 策略 ? 
答案 : 每 IP 限 流 策略 和 整体 限 流 策略 
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圈 目 标 


本 课程 后 ， 您 将 能 够 : 

握 双 机 热 备 相关 协议 原理 及 配置 
握 BFD 原 理 及 配置 

握 Link-group 原 理 和 配置 

掌握 IP-Link 原 理 与 配置 

掌握 bypass 技术 原理 与 配置 

掌握 Eth-Trunk 原 理 和 配置 


dd} 


。 学 


[= 
学 
[= 
学 
= 
皇 
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全 目录 


。. IP-link 技 术 
BDF 技 术 
Eth-Trunk 技 术 





Link-group 技 术 


Bypass 技 术 
. 双 机 热 备 技术 
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IP-1ink 基 本 原理 介绍 


。 防火 墙 ip-link 功 能 特点 
o 检测 三 层 链 路 是 否 可 达 的 功能 ，VRRP 只 能 探测 到 直 连 接口 ,三 
层 链 路 探测 如 果 探 测 到 目的 端 链 路 不 正常 ， 能 使 防火 墙 进行 圭 
备 切换 ， 保 证 业务 的 正常 ; 
o 防火墙 会 定期 向 该 目的 地 址 发 送 icmp 或 ARP 判 断 该 目的 地 址 是 
否 可 达 ， 


o 根据 ip-link 特 测 的 结果 调整 VGMP 的 优先 级 实现 主 备 切 换 。 
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防火 墙 ip-link 功 能 是 一 种 检测 三 层 链 路 是 否 村 达 的 功能 ， 基 本 原理 就 是 在 防火 墙 上 配 
置 ip-link 使 能 并 配置 ip-link 的 目的 地 址 之 后 ， 防 火 墙 会 向 该 目的 地 址 发 送 icmp 的 报 文 判断 
该 目的 地 址 是 否 可 达 ， 判 断 从 防火 墙 到 该 县 的 地 址 三 层 链 路 是 否 可 通 ， 应 用 在 双 机 热 备 组 
网 中 ，VGMP 能 根据 ip-link 特 测 的 结果 调整 YGMP 的 优先 级 ， 从 而 使 防火 墙 在 和 路 由 器 组 
网 中 能 在 发 生 故 障 的 时 候 进 行 主 备 倒 换 。 

防火 墙 在 使 能 ip-link 功 能 时 需要 判断 ip-link 的 目的 地 址 的 设备 能 和 防火 墙 进行 正常 的 
icmp 交 互 ， 这样 防 火 墙 才能 正确 的 检测 该 目的 地 址 ， 从 而 在 该 设备 发 生 故 障 的 时 候 正确 
引导 主 备 防火 墙 进行 主 备 切 换 伟 所 以 ip-link 使 用 的 前 提 条 件 是 ip-link 配 置 的 目的 地 址 的 设 
备 能 正常 的 和 防火 墙 进行 icmP 会 话 。 
。 |P-link 主 要 应 用 于 : 


0 双 机 热 备 环境 六 当 USG 工 作 于 双 机 热 备份 环境 时 ，IP-Link 自 动 检查 后 发 现 链 路 故障 
影响 主 备 业务 、、 通 过 配置 VGMP 管 理 组 监控 IP-Link，USG 会 对 YGMP 管 理 组 的 优先 
级 进行 相关 调整 ， 触 发 主 备 JSG 切换 ， 从 而 保证 业务 能 够 持续 流通 。 

oO 虚拟 路 由 器 见 余 环境 : 配置 VRRP 上 监控 IP-Link 链 路 后 ， 当 IP-Link 监 视 的 链 路 Down 时 ， 
会 改变 管理 组 的 优先 级 ， 从 而 引起 主 备 倒 换 。 

a ` 静 态 路 由 环境 : 当 IP-Link 自 动 检查 发 现 链 路 故障 时 ，USG 会 对 自身 的 静态 路 由 进行 
相应 的 调整 ， 保 证 每 次 用 到 的 链 路 是 最 高 优先 级 和 链 路 可 达 的 ， 以 保持 业务 的 持续 
流通 。 

0 策略 路 由 环境 : 当 IP-Link 自 动 检查 发 现 链 路 故障 时 ， 系 统 可 以 触发 链 路 绑 定 的 策略 
路 由 失效 ， 这 样 USG 在 查找 路 由 时 将 查找 备份 的 路 由 ， 以 保持 业务 的 持续 流通 。 


IP-1ink 功 能 特性 


。 ip-link( 链 路 健康 度 检 查 ) ; 
组 网 要 求 当 Rouferl1 和 Router5 之 间 的 链 路 出 现 故障 时 ， 防 火 墙 也 需要 
进行 主 备 倒 换 ; 
组 网 要 求 当 防火 墙 与 Router4、Router6 之 间 链 路 出 现 故 障 时 ， ER 
能 进行 主 备 倒 换 。 


Routerl Router3 


ip-link 1 
Router5 
< > 


Router2 Router4 
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。 链 路 健康 度 检查 的 基本 原理 
从 防火 墙 出 发 ， 向 指定 的 目的 地 址 连续 发 送 ping 报 文 或 者 qrp 请 求 报 文 ， 检 查 是 否 可 

以 收 到 该 目的 ip 应 答 的 ping echo reply 报 文 或 arp 应 答 报 文 。 如 果 能 连续 3 次 收 到 ， 则 认 
为 该 链 路 是 稳定 的 ; 如 果 连 续 3 次 无 法 收服 ， 则 认为 该 链 路 是 不 稳定 的 。 
。 1p-link 探 测 模式 (CMP/ARP) 

oO icmp 模 式 : 防火 墙 向 需要 探测 的 IP 地 址 周期 性 发 送 ping 报 文 ， 检 查 是 否 能 连续 收 

到 对 端的 回应 报 文 / Temip 探 测 方 式 可 以 用 于 探测 非 直 连 的 链 路 ; 
oO Qrp 模 式 : 防火 墙 向 需要 探测 的 IP 地 址 周期 性 发 送 arp 请 求 报 文 ， 检 查 是 否 能 连续 


收 到 对 端的 Grp 应 答 报 文 。Arp 探 测 方式 只 支持 探测 直 连 链 路 (或 中 间 经 过 二 层 设 
备 转发 ) 入 该 探测 方式 不 受 目 的 IP 设 备 上 安全 策略 影响 。 


1P-1ink 功 能 配置 


在 系统 视图 下 启动 IP-Link 链 路 检查 功能 


ip-link check enable 


创建 IP-Link 链 路 


ip-link /nk-/d [ vpn-instance vpn-instance-name] destination { -mci 


dns-address} [ interface /nterface-type intertace-number] [timer int 

mode { icmp [ next-hop { nexthop-address | dhcp | dialer } ] | arp }] AN 
启用 IP-Link 组 功能 

ip-link group enable AN、 
将 多 个 IP-Link 加 入 IP-Link 组 

ip-link group add linkid begin/inKID to endlinkIiD 人 入 

. ~ ~ 四 、 ~ 

配置 IP-Link 组 发 送 检 测报 文 的 时 间 


ip-link group interval interval 
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设备 上 配置 数量 较 多 的 IP-Link 时 ， 这 些 IP 六 mk 会 同时 发 送 链 路 检测 报 文 ， 从 而 导致 
CPU 使 用 率 加 速 增长 。 为 了 解决 这 个 问题 ， 评 以 启用 IP-Link 组 功能 并 将 设备 上 的 IP-Link 加 
入 IP-Link 组 。IP-Link 组 内 的 IP-Link 会 分 批发 送 检 链 路 测报 文 ， 从 而 减 小 设备 CPU 使 用 率 的 
增长 。 

配置 IP-Link 组 发 送 检测 报 文 的 有 间 时 ，interval 取 值 越 大 ， 越 能 减 小 设备 CPU 的 负担 ， 
但 链 路 检测 的 灵敏 度 降低 。 


1P-1ink 功 能 配置 


配置 双 机 热 备 与 P-Link 联 动 

hrp track ip-link /po/ink-id { master | slave } 
配置 虚拟 路 由 器 宛 余 与 IP-Link 联 动 
vrrp vrid virtual-router-id track ip-link /ink-id 


配置 静态 路 由 与 1P-Link 联 动 


4 
ip route-static /p-address { mask | mask-length } { nexthop-ad 
interface-type interface-number [ nexthop-address ] } [ pre 
preference ] track ip-link /ink-/id [ description description 


配置 策略 路 由 与 1P-Link 联 动 


5 ”配置 策略 路 由 与 1P-Link 联 动 时 ， 没 有 具体 命令 将 策略 路 由 与 IP-Link 关 联 起 来 ， 
只 需 将 策略 中 设置 的 下 一 跳 或 缺 省 下 一 跳 与 IJP-Link 侦 测 的 目的 地 址 配置 一 致 。 
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命令 中 参数 maqster 指 定 由 Maqster 管 理 组 监视 IP-Link 链 路 状态 ，slQqve 指 定 由 Slave 管 
理 组 监视 IP-Link 链 路 状态 。 


双 机 热 备 与 1P-Link 联 动 配置 举例 


。 组 网 需求 


o 配置 USG 的 上 下 行业 务 端口 加 入 同一 Link-groupP 管 理 组 ， 在 链 路 故障 时 能 够 加 
快 路 由 收敛 速度 。 


o USG 通 过 双 机 热 备 与 |P-Link 联 动 功能 监控 网 络 的 出 接口 。 当 USG_A 所 在 链 卜 的 


网 络 出 接口 故障 时 ，USG_B 切 换 成 主 用 设备 ， 业 务 流量 通过 USG_B 转 发 。 
S36- 200.1.1.1/24 





Untrust 


Internet 


PC1 p 
192.168.1.3/24 202.38.10.1/24 


> IP-Link 链 路 
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启动 链 路 检查 功能 | \4 
aa 


配置 双 机 热 备 
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配置 IP-Link \— ~ 
启用 IP-Link 维 二 能 
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配置 双 机 热 备 与 IP-Link 
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. 在 主 备 设备 上 配置 USG 相 关 接 口 的 IP 地 址 、 将 接口 加 入 相应 的 安全 区 域 ， 并 将 同一 台 设 
备 的 上 下 行 接口 加 入 同一 Link-Group 管 理 组 。 

. 在 主 备 设备 上 配置 运行 OSPF 动态 路 由 协议 。 

. 在 主 设备 接口 视图 下 配置 Master 管 理 组 监视 接口 状态 ， 在 备 设备 接 口 视 图 下 配置 Slave 
管理 组 监视 接口 状态 。 

. 在 主 备 设备 上 配置 IP-Link 功 能 ,并 通过 VGMP 管 理 组 监控 IP-Link。 

. 在 主 备 设 备 上 配置 HRP 备 份 通道 ， 并 启动 HRP。 

. 在 主 设备 上 启动 配置 命令 的 自动 备份 、 并 配置 Trust 区 域 和 Untrust 区 域 的 域 间 包 过 滤 规 
则 。 

. 配置 路 由 器 。 


关键 配置 


。 在 USG_A 上 配置 双 机 热 备 与 P-Link 联 动 。 
o ”配置 IP-Link， 监 控 网 络 出 接口 。 
[USG_A] ip-link check enable 
[USG _Al] ip-link 1 destination 200.1.1.1 interface GigabitEthernet 0/0/1 X 
o ”配置 双 机 热 备 与 P-Link 联 动 ， 由 VGMP 管 理 组 监控 IP-Link。 当 网 络 出 接 日 故障 
时 ，IP-Link 状 态 变 为 Down，VGMP 管 理 组 优先 级 降低 2。 
[USG_A] hrp track ip-link 1 master 
。 在 USG_B 上 配置 双 机 热 备 与 IJP-Link 联 动 。 
[USG_B] ip-link check enable 
[USG_B] ip-link 1 destination 202.1.1.1 interface GigabitEthernet 0/0/1 
[USG_B] hrp track ip-link 1 slave 
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BFD 技 术 简 介 


双向 转发 检测 BFD (Bidirectional Forwarding Detection) 用 于 快速 检测 
系统 之 间 的 通信 故障 ， 并 在 出 现 故 障 时 通知 上 层 应 用 。 
BFD 提 供 两 种 检测 模式 : 


= 异步 模式 &X 


o 查询 模式 


没有 收 到 
BED 执 32 


@ 
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BFD 用 于 检测 转发 引擎 之 间 的 通 重信 和 故障。 具体 来 说 ，BFD 对 系统 间 的 、 同 一 路 径 上 的 
一 种 数据 协议 的 连通 性 进行 检测 ， 这 条 路 径 可 以 是 物理 链 路 或 逻辑 链 路 ， 包 括 隧 道 


BFD 的 检测 机 制 是 两 个 系统 建立 BRD 会 话 ， 并 沿 它们 之 间 的 路 径 周期 性 发 送 BFD 控 制 
报 文 ， 如 果 一 方 在 规定 的 时 间 内 没有 收 到 BFD 控 制 报 文 ， 则 认为 路 径 上 发 生 了 故障 。 


i 会 话 开始 阶段 ， 双 方 系统 通过 控制 报 文中 携带 
的 参数 (会 话 标识 符 、 期 望 的 收发 报 文 最 小 时 间 间 隔 、 本 端 BFD 会 话 状态 等 ) 进行 协商 。 
协商 成 功 后 ， ee A ee 
文 。 

BFD 提 供 两 种 检测 模式 : 


异步 模式 : 异步 模式 是 BFD 的 主要 操作 模式 。 在 这 种 模式 下 ，BFD 会 话 建立 起 来 后 ， 
两 个 系统 之 间 相 互 周期 性 地 发 送 BFD 控 制 报 文 ， 如 果 某 个 系统 在 检测 时 间 内 没有 收 到 对 端 
发 来 的 报 文 , /就 认为 此 BFD 会 话 的 状态 是 Down。 


查询 模式 :查询 模式 是 BFD 的 第 二 种 操作 模式 。 当 一 个 系统 中 存在 大 量 BFD 会 话 时 ， 
为 防止 周期 性 发 送 BFD 控 制 报 文 的 开销 影响 到 系统 的 正常 运行 ， 可 以 采用 查询 模式 。 在 查 
询 模 式 下 、 7 旦 BFD 会 话 建立 ， 系统 就 不 再 周期 性 发 送 BFD 控 制 报 文 ， We 过 其 他 与 
BFD 无 关 的 机 制 检 测 连 通 性 (比如 路 由 协议 的 Hello 机 制 、 硬 件 检 测 机 制 等 ) ， 从 而 减少 
BFD 会 话 市 来 的 开销 。 





。 BFD 会 话 有 四 种 状态 : Down、Init、Up 和 AdminDown。 
， 会话 处 于 Down 状 态 或 刚刚 创建 


. 已 经 能 够 与 对 端 系统 通信 ， 本 
望 使 会 话 进入 Up 状态 


会话 已 经 建立 成 功 


5。 和 渤 处 于 管理 性 Down 状 态 Ny 


会 话 状态 通过 BFD 控 制 报 文 的 State 字 段 传递 ， 系 统 根据 自 忌 本 地 的 会 话 状 态 和 接收 
到 的 对 端 会 话 状态 驱动 状态 改变 。 
。 BFD 会 话 的 建立 有 两 种 方式 ， 即 静态 配置 BFD 会 话 和 动态 建立 BFD 会 话 。 
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BFD 通 过 控制 报 文 中 的 My Discriminator 和 YeUr Discriminaftor 区 分 不 同 的 会 话 。 静 态 
和 动态 创建 BFD 会 话 的 主要 区 别 在 于 My Biscriminafor 和 Your Discriminafor 的 配置 方式 不 
同 。 
。 静态 配置 BFD 会 话 
静态 配置 BFD 会 话 是 指 通过 命令 行 手 工 配 置 BFD 会 话 参 数 ， 包 括 了 配置 本 地 标识 符 和 
远 端 标识 符 等， 然后 手工 下 发 BF 四 会 话 建立 请 求 。 
。 动态 建立 BFD 会 话 
动态 建立 BFD 会 话 了 时， 系统 对 本 地 标识 符 和 远 端 标识 符 的 处 理 方 式 如 下 : 
5 动态 分 配 本 地 标识 符 
当 应 用 程序 触发 动态 创建 BFD 会 话 时 ， 系 统 分 配属 于 动态 会 话 标识 符 区 域 的 值 作为 
BFD 会 话 的 本 地 标识 符 。 然 后 向 对 端 发 送 Your Discriminator 的 值 为 0 的 BFD 控 制 报 文 ， 进 
行 会 话 协 商 k 
中 自学 习 远 端 标识 符 
当 BFB 会 话 的 一 端 收 到 Your Discriminator 的 值 为 0 的 BFD 控 制 报 文 时 ， 判 断 该 报 文 是 
否 与 本 地 BFD 会 话 匹配 ， 如 果 匹 配 ， 则 学 习 接 收 到 的 BFD 报 文中 My Discriminator 的 值 ， 
获取 远 端 标识 符 。 


> Cn 上 上 cm DD 


BFD 会 话 的 建立 过 程 


USG A 


Nm 
2A 
ae 
Sta: Down Sta: Down 


DOWN DOWN 以 


DOWN => INIT DOWN => INIT 
Sta: Init Sta: Init 


INIT => UP INIT=> UP 


Be 
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BFD 状 态 机 的 建立 和 拆除 都 采用 三 次 握手 机 制 ， 以 确保 两 端 系统 都 能 知道 状态 的 变化 


. USG A 和 USG B 各 自 启动 BFD 状 态 机 ， 初 始 状态 为 Down， 发 送 状态 为 Down 的 BFD 报 
文 。 对 于 静态 配置 BFD 会 话 ， 报 文中 的 Your Discriminator 的 值 是 用 户 指定 的 ; 对 于 动 
态 创建 BFD 会 话 ，Your Discriminater 的 值 是 0。 


. USG B 收 到 状态 为 Down 的 BFB 报 文 后 ， 状 态 切 换 至 Init， 并 发 送 状态 为 Init 的 BFD 报 文 。 
. USGB 本 地 BFD 状 态 为 lai 后 沪 不 再 处 理 接收 到 的 状态 为 DOown 的 报 文 。 

. USG A 的 BFD 状 态 变 化 同 USG B。 

. USG B 收 到 状态 为 INit 的 BFD 报 文 后 ， 本 地 状态 切换 至 Up。 

. USG A 的 BFD 状 态 变 化 同 USG B。 


. USG A 和 WSG B 发 生 “DOWN => INIT” 的 状态 迁移 后 ， 会 启动 一 个 超时 定时 器 。 如 果 
定时 器 超时 仍 坟 收 到 状态 为 Init 或 Up 的 BFD 报 文 ， 则 本 地 状态 自动 切换 回 Down。 


BFD 典 型 应 用 场景 举例 


e。 BFD for OSPF 
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网 络 上 的 链 路 故障 或 拓扑 变化 都 会 导致 USG 重 新 进行 路 由 计算 ， 要 提高 网 络 的 可 用 性 
， 缩 短路 由 协议 的 收敛 时 间 非 常 重要 。 由 于 链 路 故障 无 法 完全 和 避免， 因此， 加快 故障 感知 
速度 并 将 故障 快速 通告 给 路 由 协议 是 一 种 可 行 的 方案 。 


BFD for OSPF 就 是 将 BFD 和 OSPF 协 议 关 联 起 来 ， 通 过 BFD 对 链 路 故障 的 快速 感应 进 
而 通知 OSPF 协 议 ， 从 而 加 快 OSPF 协 议 对 于 网 络 拓 扑 变 化 的 响应 。 配 置 BFD for OSPF 特 
性 ， 可 以 使 主 链 路 出 现 故 障 了 之 后 迅速 切换 到 备份 链 路 。 


除 此 之 外 ， 还 可 以 将 BFD 与 静态 路 由 、BGP、HRP 进 行 绑 定 ， 用 于 检测 链 路 故障 。 


在 双 机 热 备份 组 网 环境 下 ， 当 Us>G 的 上 下 行 链 路 发 生 故 障 时 ， 需 要 进行 HRP 主 备 状态 
的 切换 ， 以 确保 业务 正常 进行 。 通 过 配置 BFD， 可 以 快速 检测 到 USG 上 下 行 链 路 的 故障 ， 
也 可 以 快速 检测 握 U>G 不 直接 相连 的 链 路 的 故障 。 通 过 配置 HRP 绑 定 BFD， 在 BFD 会 话 快 
速 检 测 到 链 路 DOWN 时 ， 立 即 降 低 主 用 USG 上 VGMP 管 理 组 对 应 的 优先 级 ， 从 而 触发 
HRP 主 备 状态 的 快速 切换 。 链 路 状态 恢复 正常 时 ， 被 绑 定 的 BFD 能 够 检测 到 链 路 状态 的 变 
化 ,恢复 USG 上 VGMP 管 理 组 的 优先 级 。 


关键 配置 命令 


。 BFD For OSPF 的 关键 配置 在 于 需要 在 加 入 OSPF 域 的 所 有 防火 墙 上 使 能 
局 BFD 特 性 
[USGA] bfd 
[USGA] ospf 以 
[USGA-ospf-1] bfd all-interfaces enable 
。 其 次 ， 在 发 送 和 接受 BFD 检 测 会 话 的 接口 上 配置 上 BFD 特 性 
[USGA] interface gigabitethernet 2/0/0 
[USGA-GigabitEthernet2/0/0] ospf bfd enable 


[USGA-GigabitEthernet2/0/0] ospf bfd min-tx-interval 500rmin-rx- 
interval 500 detect-multiplier 4 
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ospf bfd min-tx-interval 500 min-rx-interVal 500 detect-multiplier 4 命令 中 min-tx- 
intervaql 和 min-rx-interval 表 示 指 定 最 小 发 送 和 接收 间隔 为 500ms，detect-multiplier 表 示 
本 地 检测 时 间 倍 数 为 4。 
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Eth-trunk 功 能 特性 


。 Eth-trunk 功 能 是 绑 定 多 个 以 太 网 接口 ， 形 成 一 个 逻辑 接口 组 
。 Eth-trunk 功 能 特性 如 下 

o 提高 链 路 的 通讯 带宽 ; 

o 流量 的 负载 分 担 ; 

o 提高 链 路 的 可 靠 性 。 


G1/0/0 G1/0/0 


\ 1 \ 人 
~ ~ 


G1/0/1 G1/0/1 
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。 通过 Eth-Trunk 接口 可 以 提高 链 路 的 通信 能 


需要 将 多 个 以 太 网 端口 捆绑 为 一 个 EtN-Trunk 接口 ，Eth-Trunk 接口 的 总 带宽 是 各 成 员 
带宽 之 和 ， 通 过 这 种 方式 ， 可 以 增加 接 固 的 带宽 。 


。 通过 Eth-Trunk 接口 可 以 实现 负载 分 担 


Eth-Trunk 接口 将 流量 分 散 到 不 同 的 链 路 上 ， 最 后 至 
量 都 走 同 一 条 路 径 造 成 的 流量 阻塞 
。 Eth-Trunk 接口 还 可 以 提高 链 路 的 可 靠 性 

在 Eth-Trunk 接口 中 如 果 某 个 成 员 端 口 状 态 ， 为 Down， 流 量 还 能 依靠 其 他 的 端口 进 
行 传输 。 
。 链 路 聚合 根据 是 否 启 用 链 路 聚合 控制 协议 分 为 以 下 两 种 类 型 : 

0 手工 链 路 聚众 


手工 模式 是 一 种 最 基本 的 链 路 聚合 方式 ， 在 该 模式 下 Eth-Trunk 接 口 的 建立 ， 成 员 
接口 准 加 入 ， 以 及 哪些 接口 作为 活动 接口 完全 由 手工 来 配置 ， 没 有 链 路 聚合 控制 协议 的 
参与 


5 静态 LACP 模 式 链 路 聚合 


静态 LACP 模 式 下 ，Eih-Trunk 接 口 的 建立 ， 成 员 接 口 的 加 入 ， 都 是 由 手工 配置 完成 
的 。 但 与 手工 负载 分 担 模式 链 路 聚合 不 同 的 是 ， 该 模式 下 LACP 协 议 报 文 负责 活动 接口 
的 选择 。 


I 达 统 一 目的 地 。 这 样 可 以 避免 流 


Eth=-trunk 配 置 命令 


。 创建 Eth-trunk 接 口 


。 物理 接口 加 入 Eth-trunk 接 口 


。 配置 Eth-Trunk 接 口 的 负载 分 担 方式 


。 配置 负载 分 担 权 重 、 
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。 nama/ 


o 逐 流 负载 分 担 是 指 当 报 文 的 源 IP 地 址 和 目的 IP 地 址 都 相同 时 ， 这 些 报 文 从 同一 个 
的 成 员 链 路 上 通过 。 、 
o I 走 不 同 的 成 员 链 路 。 


Xv 


SS 
< 
SS 
~ 
RN 
~ 


Eth-trunk 配 置 实例 


。 创建 eth-trunk 1 组 
[USG5000A] interface eth-trunk 1 
[USG5000A-Eth-Trunkl] ip address 100.1.1.1 24 
。 接口 加 入 到 eth-trunk 1 组 
[USG5000A] interface Gigabitethernet 1/0/0 
[USG5000A- Gigabitethernet 1/0/0] eth-trunk 1 


USG5000A Eth-T™runk1 USG5000B 
100.1.1.1/24 


G1/0/0 


G1/0/1 
Eth-Trunk 2 


100.11.2/24 
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Link-group 工 作 原 理 


。Link-group 的 工作 原理 
= 将 多 个 物理 接口 的 状态 相互 绑 定 ， 组 成 一 个 罗 辑 组 ; 
= 如 果 组 内 任意 接口 出 现 故障 ， 系 统 将 组 内 其 它 接口 状态 设置 为 Downs 
= 当 组 内 所 有 接口 恢复 正常 后 ， 整 个 组 内 的 接口 状态 才 重 新 被 设置 对 Np。 
A 
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。 Link-group 具有 如 下 特性 : 
0 支持 跨 接口 板 的 接口 状态 管理 ; 
0 支持 接口 板 热 插 拔 。 














。 物理 接口 加 入 Link-group 组 配置 命令 : 








[USG5000]system-view 
[USG5000]interface iNterface-type interface-number 


[USG5000]linksgroup <link-group-id> 


Link-group 配 置 实例 


。 组 网 要 求 在 不 进行 ip-link ( 链 路 检测 ) 的 情况 下 ， 当 FW 上 行 接口 down，VRRP 可 以 
进行 主 备 切换 。 


Router 


Switch 


PC 
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Link-group 实 例 配置 


配置 接口 GigabitEthernet 1/0/0 加 入 到 Link-group 1 
<USG> system-view 
[USG] interface GigabitEthernet 1/0/0 


[USG-GigabitEthernet1/0/0] link-group 1 
配置 接口 GigabitEthernet 1/0/01 加 入 到 Link-group 1 


[USG] interface GigabitEthernet 1/0/1 
[USG-GigabitEthernet1/0/1] link-group 1 
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6 系统 》 高 可 靠 性 Link Group 
修改 Link Group 


Link Group 号 
接口 








将 各 接口 加 入 或 移 除 相 
应 的 link-group 


Bd 
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在 Web 配 置 界面 中 ， 选 择 系统 > 高 可 靠 性 >Link Group, 在 “Link Group” 中 ， 选 择 
要 配置 的 Link Group 进行 编辑 ， 根 据 可 选 接口 将 其 加 入 或 移 除 Link Group。 


全 目录 


. IP-link 技 术 
BDF 技 术 
Eth-Trunk 技 术 





Link-group 技 术 
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硬件 Bypass 技 术 


通过 配置 Bypass 接 口 ， 可 以 避免 设备 故障 引起 的 网 络 通信 中 
断 ， 提 高 网 络 的 可 靠 性 。BypPass 功 能 需要 ByPass 接 口 卡 的 支 


竺 。 
4 


Bypass 接 口 分 为 两 类 : 


光 Bypass 接 口 电 Bypass 接 口 
全 
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电 Bypass 接 口 


在 USG 防 火 墙 上 ，4X GE 电 Bypass 接 口 卡 对 外 提供 4 个 
10/100/1000M 自 适应 以 太 网 电 接口 。 当 USG 下 电 或 者 故障 
pent 
， 确 保 业 务 不 中 断 。 


4X GE 电 Bypass 接 口 卡 面板 外 观 图 
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4XGE 电 Bypass 接 口 卡 可 实现 数据 转发 功能 s* 当 4X GE 电 Bypass 接 口 卡 的 接口 工作 在 
二 层 模 式 时 ， 具 备 电 路 旁 通 功能 ，USG 下 电 或 者 故障 时 ， 数 据 流 可 以 绕 过 USG， 使 得 USG 
两 端的 设备 直接 对 接 。 

GE0 和 GE1、GE2 和 GE3 分 别 组 成 两 对 Bypass 接 口 ，GE0 与 上 游 设 备 (Router A) 连 
接 ，GE1 与 下 游 设 备 〈Router B) .和 血 接 ; 同 理 ，GE2 与 上 游 设备 连接 ，GE3 与 下 游 设 备 连 
接 。 


当 USG 正 常 工作 时 ， 流 量 由 Router A 从 GE0 接 口 流入 USG， 经 过 USG 处 理 后 从 GE1 接 
口 流向 Router B; 当 USG 生 电 或 者 故障 时 ， 流 量 由 Router A 从 GE0 接 口 流 入 USG, USG 
不 经 过 任何 处 理 ， 直 接 由 GE1 接 口 流向 Router B， 相 当 于 Router A 与 Router B 直 接 对 接 。 


有 两 种 方式 可 以 使 接口 处 于 Bypass 状 态 : 
。 自动 方式 。 
当 设 备 掉 电 的 时 候 ， 支 持 继电器 自动 吸 合 ， 切 换 至 Bypass 状 态 。 或 者 当 设 备 重启 的 
时 候 ， 文 持 与 主板 的 心跳 检测 ， 心 跳 丢 失 时 切换 至 Bypass 状 态 。 
。 手动 方式 。 
该 种 方式 支持 手动 用 命令 将 接口 切换 至 Bypass 状 态 。 
接 且 工作 于 Bypass 状 态 时 ， 业 务 不 会 中 断 。 但 是 ， 在 Bypass 状 态 下 ， 业 务 没有 经 过 
USG 进 行 处 理 ， 存 在 一 定 的 安全 隐患 。 建 议 立即 排除 故障 ， 并 将 接口 恢复 到 非 Bypass 状 态 
配置 电 Bypass 接 口 ， 在 系统 视图 下 ， 执 行 命令 bypass-link bypass-lnk-number, 
进入 Bypass 接 口 配置 视图 ， 然 后 执行 命令 switch bypass， 将 接口 切换 到 Bypass 状 态 。 
缺 省 情况 下 ， 接 口 处 于 非 Bypass 状 态 。 


光 Bypass 接 口 


。 每 个 光 Bypass 接 口 卡 支持 2 个 单 链 路 ByPass 子 卡 ，BypPass 接 口 卡 包 
括 单 模 (BYPS) 和 多 模 (BYPM) 两 种 类 型 。 


多 模 光 Bypass 接 口 卡 面板 外 观 图 


1. 外 部 光 接 口 2. 内 部 光 接 口 3. 状态 切换 按钮 4. 状态 指示 灯 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserve 中 Page 29 多 HUAWEI 





单 模 光 纤 芯 径 小 (10m m 左 右 ) ， 仅 允许 一 个 模式 传输 ， 色 散 小 ， 工 作 在 长 波长 〈 
1310nm 和 1550nm) ， 与 光 器 件 的 耦合 相对 困难 ; 多 模 光 纤 芯 径 大 〈62.2mm 或 ?20mm 
) ， 人 允许 上 百 个 模式 传输 ， 色 散 大 ， 玉 作 在 850nm 或 1310nm。 与 光 器 件 的 耦合 相对 容易 


Bypass 链 路 有 两 种 工作 模式 : 
。 自动 模式 

如 果 Bypass 链 路 处 于 工作 回路 ， 当 Bypass 链 路 的 光 功 率 小 于 工作 回路 LOS (Loss of 
signal ， 没 有 接收 光 信号 ) 准 限 值 时 ，Bypass 链 路 由 工作 回路 切换 到 保护 回路 。 如 果 
Bypass 链 路 处 于 保护 回路 且 启 用 自动 回 切 功能 ， 当 Bypass 链 路 的 光 功 率 大 于 工作 回路 
LOS 回 滞 值 与 LOS 门 限 值 之 和 了 时，Bypass 链 路 在 自动 回 切 时 间 后 由 保护 回路 切换 到 工作 回 
路 。 

如 果 Bypass 链 路 处 于 工作 回路 ， 且 启用 了 心跳 功能 ， 设 备 会 每 隔 1 秒 向 Bypass 插 卡 人 
Bypass 链 路 ) 发 送 心跳 报 文 。 如 果 Bypass 链 路 在 10 秒 内 没有 收 到 心跳 报 文 ， 则 由 工作 回 
路 切换 到 保护 回路 。 

。 强制 模 陈 


强制 Bypass 链 路 处 于 工作 回路 或 保护 回路 ， 不 会 发 生 回 路 切换 。 


光 Bypass 接 口 工作 原理 


。 光 Bypass 接 口 卡 流量 示意 图 : (以 单 模 光 BypPass 为 例 ) 


上 游 设 备 


下 游 设 备 
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Bypass 接 口 卡 处 于 工作 回路 时 ， 流 量 由 “BE 游 设备 ”经 ETx 流 入 Bypass 接 口 卡 ， 由 
Bypass 接 口 卡 C 接 口 的 CTx 流 入 USG 处 理 ， 经 USG 处 理 后 再 由 HTx 流 回 Bypass 接 口 卡 ， 最 
终 通 过 Bypass 接 口 卡 B 接 口 的 BTx 流 入 下 游 设 备 ”， 流 量 路 径 为 1 一 2 一 3 一 4。 

Bypass 接 口 卡 处 于 保护 回路 时 , 令 量 由 “上 游 设备 ”经 ETx 流 入 Bypass 接 口 卡 ， 然 后 
直接 由 Bypass 接 口 卡 B 接 口 的 BTx 流 入 “下 游 设备 ”， 不 经 过 Bypass 接 口 卡 的 Internal 接 
口 和 USG， 流量 路 径 为 1 一 4。 

无 论 Bypass 接 口 卡 处 于 习作 同 路 还 是 保护 回路 状态 时 ，Bypass 接 口 卡 均 不 会 对 流量 
进行 任何 处 理 。 对 于 Bypass 接 口 卡 所 在 的 USG 来 说 ，Bypass 接 口 卡 只 是 起 到 一 个 开关 的 
作用 ， 处 于 工作 回路 状态 时 ， 开 关 处 于 打开 的 状态 ， 流 量 可 以 流入 USG 处 理 ; 处 于 保护 回 
路 状态 时 ， 开 关 处 于 关闭 的 状态 ， 流 量 不 能 流入 USG， 直 接 将 流量 Bypass。 

配置 光 Bypass 接 月 时 ， 执 行 命 令 bypass-link bypass-Wnk-number， 进 入 光 Bypass 
链 路 视图 。 必 须 芷 与 Bypass 接 口 卡 相连 的 光 接 口上 配置 命令 bypass enable bypass- 
link bypass-WPkK-number， 指 定 Bypass 链 路 号 ， 确 保 光 Bypass 切 换 的 稳定 性 。 

其 次 ;执行 合 令 mode { automatic | force { working-path | protection-path } } 
， 配 置 Bypass 链 路 的 模式 和 处 于 的 回路 。 


缺 省 情况 下 ，Bypass 链 路 为 自动 模式 。 


软件 Bypass 命 令 - 过 载 保 护 


启用 以 下 两 条 命令 可 以 实现 设备 过 载 保护 : 


i utm bypass enable 


NS ips bypass enable 


此 功能 的 启用 和 关闭 分 别 实现 业务 优先 和 安全 优先 。 
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命令 “Utm bypass enable” 为 启用 深度 检测 过 载 保护 功能 。 启 用 时 实现 业务 优先 ， 
当 USG 出 现 内 存 不 足 或 者 CPU 处 理 能 力 达 到 卜 限 的 情况 下 ，IPS、AV、 升 级 功能 自动 短暂 
失效 ， 报 文 不 经 过 IPS、AV 的 检测 就 被 转发 9 当 USG 的 内 存 使 用 情况 和 CPU 处 理 能 力 恢复 
正常 后 ，IPS、AV、 升 级 功能 将 自动 生效 

关闭 深度 检测 过 载 保护 功能 将 实现 安全 优先 。 当 USG 出 现 内 存 不 足 或 者 CPU 处 理 能 
达到 上 限 的 情况 下 ， 为 确保 转发 的 报 交 不 携带 威胁 ，USG 技 弃 超 过 设备 吞吐 量 的 流量 。 

命令 “ips bypass enaqble” 为 启用 过 载 保 护 功能 。 启 用 时 将 实现 业务 优先 ， 当 IPS 模 
块 出 现 异常 或 IPS 模 块 处 理性 能 达到 上 限 的 情况 下 ，IPS 功 能 自动 短暂 失效 ， 报 文 不 经 过 IPS 
功能 的 检测 就 被 转发 , / 当 流 量 恢复 正常 后 IPS 功 能 又 自动 生效 。 


关闭 过 载 保护 功能 将 实现 安全 优先 ， 当 IPS 模 块 出 现 异常 或 IPS 模 块 处 理性 能 达到 上 限 
的 情况 下 ， 为 确 全 苇 发 的 报 文 不 撞 带 威 助 ，USG9000 丢 弃 超 过 设备 要 吐 量 的 流量 。 


全 目录 


. IP-link 技 术 
BDF 技 术 
Eth-Trunk 技 术 





Link-group 技 术 


Bypass 技 术 
。 双 机 热 备 技术 
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双 机 热 备 协议 体系 结构 








vGwp 
VRRP IE 
Ethernet ”ER GE | ethermet | SN 人 eme | 
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VRRP (Virtual Router Redundancy ProtS6cgl) 是 标准 的 协议 ， 负 责 监 控 单个 链 路 的 
状态 ; 


VGMP (VRRP Group Management Protocol) 是 对 这 个 设备 上 的 所 有 VRRP 进 行 管 
理 ， 负 责 监 控 整 个 设备 的 状态 ， 并 统一 控制 设备 上 所 有 VRRP 备 份 组 的 状态 ; 


HRP (Huawei Redundancy Protocol) 则 负责 在 双 机 之 间 进 行 关键 数据 的 及 时 同步 ， 
HRP 和 VGMP 分 工 不 同 ， 之 间 并 无 功能 上 的 联系 ， 只 是 HRP 报 文 由 VGMP 报 文 扩充 而 来 ; 


HRP 只 是 提供 了 一 个 统 二 的 数据 同步 〈 传 输 ) 机制， 具体 要 发 送 的 数据 由 各 应 用 模块 自 
己 决定 。 


双 机 热 备 协议 原理 回顾 


。 虚拟 IP 地 址 。 VGMP 状 态 
。 HELLO 报 文 和 (Master/Slave) 
故障 检测 。 VGMP HELLO 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserveds Page 34 WN2 HUAWEI 





VRRP 协 议 原理 : 
。 虚拟 IP 地 址 
同一 个 备份 组 中 的 多 个 路 由 器 共同 提供 一 个 虚拟 iP 地 址 ， 作 为 内 网 用 户 的 网 关 。 


虚拟 IP 地 址 只 在 主 路 由 器 上 生效 汶 当 主 路 由 器 故障 时 ， 会 从 备份 路 由 器 中 选举 出 一 个 
新 的 路 由 器 作为 主 路 由 器 ， 虚 拟 IP 会 自动 迁移 到 新 的 主 路 由 器 。 


在 进行 业务 网 关 配 置 时 ,使 用 VRRP 的 虚拟 IP 地 址 来 替代 接口 的 实际 IP 地 址 ， 这 样 在 出 
现 故 障 时 可 以 实现 自动 和 平滑 的 切换 。 


。 HELLO 报 文 和 故障 检测 


主 路 由 器 通过 组 播 方式 定期 向 备份 路 由 器 发 送 通告 报 文 (HELLO) ， 备 份 路 由 器 则 负 
责 监听 通告 报 文 。 


如 果 主 路 由 器 链 路 故障 导致 HELLO 报 文 无 法 发 送 到 备份 路 由 器 ， 当 备份 路 由 器 在 三 个 报 文 
周期 内 收 不 到 VRRP 通 告 报 文 时 ， 备 份 路 由 器 就 会 重新 协商 出 一 个 新 的 主 路 由 器 ， 该 路 由 
器 将 自动 启用 备份 组 的 虚拟 IP ， 同 时 发 送 虚 拟 IP 的 免费 ARP 报 文 ， 通知 上 下 行 设备 刷新 
ARP 表 项 ， 将 业务 流量 切换 到 自己 提供 的 业务 端口 ， 并 转发 以 虚拟 路 由 器 IP 地 址 作为 下 一 
跳 的 报 文 。 


双 机 热 备 场景 概述 


。 下 行 2 层 交换 机 
。 上 行 2 层 交换 机 


。 下 行 2 层 交 换 机 

。 上 行 3 层 路 由 器 
OO 【2 

。 下行 3 层 路 由 器 

。 上 行 3 层 路 由 器 


防火 墙 王 作 在 3 层 


。 下 行路 由 器 /交换 机 
防火 墙 工作 在 2 层 。 上 行路 由 器 /交换 机 
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防火 墙 工 作 在 3 层 模 式 ， 是 指 防 火 墙 的 各 业务 接口 为 三 层 接口 需要 配置 IP 地 址 。 而 防火 
墙 工 作 在 2 层 模 式 是 指 防火 墙 工作 为 透明 模式 淮 除 HRP 心 跳 口 外 ， 其 余 接 口 均 不 配置 IP 地 址 


oo 


而 防火 墙 工 作 在 不 同 层 以 及 其 业务 口 所 连接 的 设备 不 同 ， 双 机 热 备 的 配置 也 有 所 差异 


HRP Track 原理 


。 配置 hrp track 以 后 ， 接 口 的 状态 会 影响 对 应 配置 的 管理 组 的 优先 级 
。 当 该 接口 down 时 ， 所 对 应 的 管理 组 优先 级 就 在 原 有 基础 上 -2。 


X 


。 配置 命令 (在 接口 视图 下 ) 


hrp track { master | slave } YY 


。 配置 举例 。 在 主 用 设备 业务 接口 上 配置 hrp track 如 下 : 
[USG_A] interface GigabitEthernet 0/0/1 
[USG_A-GigabitEthernet0/0/1] hrp track master 
[USG A-GigabitEthernet0/0/1] quit 
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VGMP 管 理 组 通过 VRRP 备 份 组 监控 接口 状态 当 接 口 或 链 路 故障 时 ，VRRP 备 份 组 更 
新 自己 的 状态 ， 并 向 VGMP 管 理 组 汇报 .4 丝 外 ss VGMP 管 理 组 也 可 以 直接 监控 上 下 行业 务 
接口 的 状态 ， 称 为 HRP Track。 


每 台 设备 的 VGMP 管 理 组 初始 状态 由 用 户 指定 (Master 或 Slave) ，Master 的 优先 级 
为 65001，Slave 的 优先 级 为 65000。 当 VGMP 管 理 组 通过 VRRP 备 份 组 或 直接 监测 到 接口 
Down 时 ， 会 重新 计算 VGMP 管 理 组 优先 级 ， 计 算 公 式 如 下 : 

VGMP 管 理 组 优先 级 =VGMP 管 理 组 初始 优先 级 -N*2 (N= 状态 变 为 Down 的 被 监测 接 
口 的 个 数 ) 

即 每 个 被 监测 的 接口 Down 时 ，VGMP 管 理 组 优先 级 降低 2。 


Vlan Track 的 原理 和 配置 


当 防 火 墙 业务 接口 工作 在 2 层 时 ， 将 上 行 和 下 行业 务 口 分 别 加 入 不 
同 的 VLAN ， 并 在 该 VLAN 下 配置 hrp track, 实现 hrp track 的 功能 


X 


配置 命令 (在 VLAN 视 图 下 ) C0 A 


hrp track { master | slave } 


O 


配置 举例 。 在 主 用 设备 业务 接口 上 配置 hrp trackxnyss 
[USG A] VLAN 2 
[USG_A- VLAN-2] hrp track master 


[USG_A- VLAN-2] quit 
WW huawel 
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当 USG 的 上 下 行业 务 接口 工作 在 二 层 模 式 时 s< 由 于 二 层 接口 无 法 配置 1P 地 址 ， 因 此 无 
法 在 二 层 业务 接口 上 无 法 配置 VRRP 备 份 组 。 这 样 就 无 法 通过 配置 VRRP 备 份 组 的 方式 将 接 
口 加 入 到 VGMP 管 理 组 。 此 时 只 能 将 处 下 行 业务 接口 加 入 到 同一 VLAN ， 然 后 通过 HRP 
Track 方 式 由 VGMP 管 理 组 监测 VLAN 并 监测 二 层 业 务 接 口 状 态 。 


场景 要 点 分 析 


。 HRP Track 


业务 口 在 交 
换 模式 





OSPF Cost 调 整 原理 


。 当 防 火 墙 上 下 行 所 连接 的 设备 为 路 由 器 时 ， 路 由 器 上 需要 配置 OSPF。 而 在 
防火 墙 上 ， 需 要 根据 HRP 的 状态 调整 OSPF Cost 值 ， 以 便 能 主 备 选 路 。 


。 配置 命令 (在 VLAN 视 图 下 ) 
hrp ospf-cost adjust-enable [ slave-cost ] AD 


。 配置 举例 。 在 主 用 设备 业务 接口 上 配置 hrp track 如 下 : 
[USG] hrp ospf-cost adjust-enable 
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当 USG 部 团 于 OSPF 网 络 中 做 主 备 备份 时 , 必须 配置 该 命令 。 负 载 分 担 组 网 可 以 不 配 
置 此 命令 。 
缺 省 情况 下 ， 此 功能 处 于 启用 状态 兴 Cost 值 (s/9ve-cost) 为 65500。 


S/ave-cost 的 取 值 与 上 下 游 路 由 器 设 定 的 OSPF Cost 值 有 关 。 要 求 5%eve-cos 克 取 值 
大 于 备用 设备 上 下 游 路 由 器 的 Cost 值 。 

配置 这 个 命令 后 ，USG 发 布 OSPF 路 由 时 ， 会 判断 自身 是 主 用 设备 还 是 备用 设备 。 如 
果 是 主 用 设备 ，USG 把 学 习 到 的 路 由 直接 发 布 出 去 ; 如 果 是 备用 设备 ，USG 发 布 Cost 值 为 
5S/9Ve-cos! 的 路 由 。 这 样 上 下 行路 由 器 在 计算 路 由 的 时 候 ， 就 能 将 下 一 跳 指向 主 用 设备 ， 
并 把 报 文 转发 到 主 用 设备 让 。 

当 防 火 墙 工 作 在 2 层 模式 且 防 火 墙 做 主 备 备份 了 时， 并 通过 执行 命令 ospf cost cosit 在 接 
口上 设置 OSPF Cost 值 。 为 了 保证 业务 流量 通过 主 用 设备 转发 ， 连 接 主 用 设备 的 路 由 器 的 
接口 OSPF 值 需要 小 于 连接 备用 设备 的 路 由 器 的 接口 OSPF 值 。 


双 机 热 备 典型 配置 思路 





ke 
泡 
国 2 
有 
记 LO 
虑 I 
Ea 
和 
路 
长 
尽 
度 





双 机 热 备 基本 组 网 实例 


。 防火 墙 和 交换 机 双 机 热 备 组 网 ， 这 是 最 成 熟 的 双 机 热 备 组 网 类 型 


。 配置 简单 ， 倒 换 速 度 快 
备份 组 1 


USG_A 
Virtual IP Address G0/0/0 加 GO/0/1 
和 性 202.38.10.2/24 


Master 


E2/0/0 
10.0.0.1/24 


E2/0/0 


PC1:10.100.10.100/24 10.0.02/24 


GO0/0/0 ~ 备份 组 2 
国 GO/0/1 ; 
10.100.10.3/24 PS Virtual IP Address 
Bam 202.38.10.3/24 202.38.10.1/24 


Backup 
USG_B 
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双 机 热 备 组 网 最 常见 的 是 防火 墙 采用 路 由 模式 ， 下 行 交 换 机 双 线 上 联 到 防火 墙 ， 正 常 
情况 下 防火 墙 A 作 为 主 ， 当 防火 墙 A 上 行 或 下 行 链 路 down 掉 后 ， 防 火 墙 5 自动 切换 为 主 设 
备 ， 交 换 机 流量 走向 防火 墙 B。 


双 机 热 备 基本 组 网 配置 


。 配置 VRRP 备 份 组: 
新 建 VRID 
虚 IP 地 址 / 挤 码 


管理 组 
高 级 





配置 双 机 热 备 
3 HRP 启 动 

HRP 备 份 通道 到 * 对 端 I!P 地 址 
高 级 
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防火 墙 双 机 热 备 基本 组 网 主要 配置 命令 参考 : (此 处 仅 介绍 主 防 火 墙 命令 行 配 置 ) 
配置 VRRP 备份 组 1 和 2 : 
[USG_Ajinterface GigabitEthernet*\0/0/0 
[USG A-GigabitEthernets0/0/0 lip address 10.100.10.2 24 
[USG_A-GigabitEthernetO/0O/0 ]vrrp vrid 1 10.100.10.1 master 
[USG _Alinterface\GigabitEthernet 0/0/1 
[USG A-GigabitEthernet 0/0/1 ]ip address 202.38.10.2 24 
[USG A-GigabitEthernet 0/0/1 ]vrrp vrid 1 202.38.10.1 master 
配置 HRP: 
[YSG-Alhrp enable 
[USG-Alhrp mirror session enable 


[USG-Alhrp interface ethernet 2/0/0 


双 机 热 备 典型 组 网 (路 由 模式 + 路 由 器 ) 


。 组 网 概述 : 
o 如 下 图 所 示 ，USG 上 、 下 行业 务 接口 工作 在 三 层 ， 与 路 由 器 直 连 。USG 
与 上 、 下 行路 由 器 之 间 运 行 OSPF 协 议 。 这 是 比较 常用 的 一 种 组 网 方式 





X 


Router 
GO/0/1 








Router 
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此 种 组 网 是 防火 墙 上 下 行 均 是 路 由 器 的 时 候 应 用 的 最 多 的 一 种 组 网 ， 对 于 此 种 组 网 ， 
防火 墙 需 要 和 路 由 器 之 间 运 行 OSPF 协 议 s 


如 果 要 形成 主 备 组 网 ， 可 以 在 防火 墙 的 寂 下 行路 由 器 上 对 特定 的 链 路 调整 COST 值 ， 
保证 业务 都 从 同一 边 的 路 由 器 上 转发 ， 或 者 是 在 防火 墙 上 配置 根据 HRP 状 态 调整 OPF 路 
由 的 COST 值 的 命令 ， 使 备 防火 墙 发 布 路 由 的 时 候 增 大 COST， 保 证 业务 在 同一 边 的 路 由 器 
上 和 转发， 同时 防火 墙 上 配置 一 鹤 VGMP， 把 所 有 的 接口 上 的 VRRP 加 入 到 同一 个 VGMP 组 
中 。 


如 果 要 形成 负载 分 担 的 组 网 ， 即 主 备 防火 墙 上 都 有 转发 业务 ， 需 要 保证 防火 墙 上 下 行 
的 路 由 器 上 都 能 有 业务 到 达 防 火 墙 ， 这 个 可 以 通过 配置 路 由 的 方式 实现 。 如 果 存 在 来 回路 
径 不 一 致 的 情况 ， 需 要 在 防火 墙 上 配置 会 话 快速 备份 功能 。 


。 可 靠 性 分 析 : 


如 图 所 示 s 防火 墙 FW1 为 主 防 火 墙 ，FW2 为 备 防 火 墙 ， 备 防火 墙 向 外 发 布 路 由 的 时 候 
会 自动 加 上 和 所 个 COeST 值 (默认 是 65500) 。 


。 FW1 和 Rl1 之 间 的 链 路 故障 


当 FWL 和 R1 之 间 的 链 路 故障 ，VGMP 的 优先 级 降低 ， 此 时 FW1 的 优先 级 比 FW2 的 优 
先 级 低 入 防火 墙 发 生 主 备 倒 换 ，FW2 变 成 主 防 火 墙 ，FW1 变 成 备 防 火 墙 。 在 防火 墙 发 生 主 
备 倒 换 之 后 ，FW1 和 FW2 都 会 更 新 自身 的 路 由 并 对 外 发 布 路 由 ， 此 时 FW2 为 主 ， 对 外 直 
接 发 布 自身 的 路 由 ， 而 FW1 变 成 了 备 防火 墙 ， 对 外 发 布 路 由 的 时 候 会 另外 加 上 一 个 COST 
值 人 (默认 是 65500) ， 路 由 重新 计算 并 收敛 ， 业 务 都 从 PW2 上 走 。 此 组 网 图 中 任何 一 个 和 
防火 墙 相连 的 路 由 器 的 链 路 down 或 者 是 路 由 器 故障 ， 都 会 引发 上 述 过 程 。 


双 机 热 备 典型 组 网 场景 分 析 


。 无 法 在 业务 端口 上 配置 VRRP 备 份 组 ， 因 此 采用 在 心跳 
接口 上 配置 VRRP 备 份 组 来 监视 业务 端口 ， 并 让 VRRP 管 
理 组 优先 级 根据 组 成 员 优先 级 来 计算 。 


。 由 于 所 有 设备 都 运行 动态 路 由 协议 ， 当 链 路 出 现 故障 
时 动态 路 由 协议 会 引导 流量 的 切换 ， 因 此 在 这 种 组 网 
中 防火 墙 的 双 机 热 备份 模块 只 起 到 备份 数据 的 作用 。 





。 需要 在 USG 上 指定 心跳 口 ， 并 启用 HRP 功 能 。 





。 适用 范围 广 ,适应 绝 大 部 分 的 组 网 需要 。 
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由 于 路 由 器 无 法 透 传 VRRP 报 文 ， 因 此 当 USG 的 上 下 行业 务 接口 连接 路 由 器 时 ， 无 法 
通过 配置 VRRP 备 份 组 的 方式 将 接口 加 入 到 VGMP 管 理 组 。 此 时 只 能 通过 HRP Track 方式 由 
VGMP 管 理 组 直接 监测 接口 状态 


VGMP 管 理 组 监控 的 接口 故障 时 。VGMP 管 理 组 优先 级 降低 。 当 主 用 设备 的 VGMP 管 
理 组 优先 级 低 于 备用 设备 的 VGMP 管 理 组 优先 级 ， 会 发 生 主 备 设 备 的 状态 切换 。 


由 于 USG 的 上 下 行 设备 为 路 由 器 ， 且 业务 接口 工作 三 层 ， 因 此 可 以 在 USG 与 上 下 行 设 
备 之 间 运 行 OSPF 协 议 。 如 果 需 要 实现 主 备 备份 ， 则 需要 在 两 合 USG 的 直 连 路 由 器 上 配置 


不 同 的 COST 值 ; 如 果 需 要 实现 负载 分 担 ， 则 需要 在 两 全 USG 的 直 连 路 由 器 上 配置 相同 的 
COoT 值 。 


HRP 协 议 可 以 在 主 用 和 备用 设备 之 间 实 时 备份 关键 配置 命令 和 会 话 表 状 态 信 息 ， 实 现 
言 息 同 步 。 因 此 需要 在 USG 上 指定 心跳 口 ， 并 启用 HRP 功 能 。 如 果 是 负载 分 担 组 网 ， 为 了 
保证 流量 来 回路 径 的 一 致 ， 还 需要 启用 快速 会 话 备份 功能 。 


双 机 热 备 典 型 组 网 (路 由 模式 + 路 由 器 ) 
配置 思路 





关键 配置 


。 在 上 、 下 行业 务 接口 配置 hrP track 功 能 ， 将 接口 加 入 状态 为 Master 的 VGMP 管 理 组 。 
[USG_A] interface GigabitEthernet 0/0/1 
[USG_A-GigabitEthernet0/0/1] hrp track master 
[USG_A] interface GigabitEthernet 0/0/3 
[USG_A-GigabitEthernet0/0/3] hrp track master 以 
配置 根据 HRP 状 态 调整 OSPF 相 关 的 COST 值 命令 功能 。 
[USG_A] hrp ospf-cost adjust-enable 
指定 GigabitEthernet 0/0/2 为 心跳 口 。 
[USG_A] hrp interface GigabitEthernet 0/0/2 
启用 HRP 备 份 功能 。 
[USG_A] hrp enable 
配置 YGMP 管 理 组 的 抢占 功能 为 开启 状态 ， 且 抢占 延迟 大 于 收 障 恢复 后 OSPF 协 议 的 
收敛 时 间 。 
HRP_MI[IUSG_A] hrp preempt delay 60 
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。 配置 时 应 注意 : 


0 为 了 保证 双 机 备份 的 可 靠 性 ， 建 议 防火 墙 之 间 采 用 2GE 板 卡 ，GE 卡 的 两 个 口 之 间 
相连 ， 使 心跳 线形 成 备份 ， 保证 其 中 一 根 心跳 线 down 掉 的 时 候 另 外 一 根 心跳 线 
也 能 做 备份 通道 ; 

0 防火 墙 和 上 下 行路 由 器 起 @3PF， 形 成 动态 路 由 ，OSPF 区 域 尽量 只 包含 防火 墙 和 
路 由 器 ， 这 样 路 由 收敛 速度 快 ， 防 火 墙 倒 换 过 后 OSPF 能 快速 收敛 。 同时 不 要 引 
入 心跳 口 P 地 址 的 路 由 sg 保证 心跳 口 不 转发 数据 ; 

oO 需要 根据 HRP 的 状态 动态 调整 OSPF 的 cost 值 ， 否 则 YGMP 状 态 会 是 初始 化 状态 ， 
导致 YGMP 无 法 协商 形成 主 备 .配置 YGMP 为 主 的 防火 墙 VYVGMP 不 抢占 ， 和 避免 故障 
恢复 的 防火 墙 在 发 生 抢占 之 后 路 由 再 次 需要 收敛 。 


结果 验证 


。 检查 当前 HRP 的 状态 。 
HRP_MI[IUSG_A] display hrp state 
The firewall's config state is: MASTER 
Current state of interfaces tracked by master: 
GigabitEthernet0/0/1 : up X 
GigabitEthernet0/0/3 : up 
PC2 作 为 HTTP 服 务 器 位 于 Untrust 区 域 ， 对 外 提供 HTTP 服 务 。 在 Trust 区 域 的 RCT 端 访 
问 Untrust 区 域 的 HTTP 服 务 器 ， 并 进行 文件 的 下 载 操 作 。 分 别 在 USG_A 和 SG_B 上 检 
查 会 话 。 
HRP_MI[IUSG_Al] display firewall session table 
Current total sessions : 1 
http VPN: public -> public 1.1.1.3:22048 --> 2.2.2.3:80 
HRP_S[USG_B] display firewall session table 
Current total sessions : 1 
http VPN: public -> public Remote 1.1.1.3:22048 --> 22.2.3:80 
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双 机 热 备 典型 组 网 (路 由 模式 + 上 路 由 器 下 交 
换 机 ) 


。 组 网 概述 : 


o ”故障 检测 :将 连接 交换 机 接口 VRRP 备 份 组 添加 到 VGMP 管 理 组 ， 由 VGMP 来 检测 防火 墙 下 行 
接口 运行 状态 ; USG 的 上 行业 务 接 口 连 接 路 由 器 ， 通 过 HRP Track 方 式 由 VGMP 管 理 组 直接 
监测 接口 状态 ; 

o 流量 切换 :交换 机 VRRP 虚 地 址 实现 流量 切换 ,路 由 器 和 防火 墙 运行 动态 路 由 协议 ， gs 
值 根据 HRP 状 态 自动 调整 确保 来 回报 文 从 主 防火 墙 通过 ; 

o 由 HRP 负 责 数据 在 双 机 之 间 的 备份 。 

SwitcPI a 


FW1 


Routerl 


G0/0/2 
GO/0/2 


Router2 
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双 机 热 备 典型 组 网 (路 由 模式 + 上 路 由 
羡 下 交换 机 ) 声 景 分 析 


。 防火 墙 上 行 是 路 由 器 下 行 是 交换 机 ， 能 适应 绝 大 部 分 的 组 网 需要 ) 








。 通过 VRRP 和 OSPF 实 现 流量 的 快速 切换 


。 下 行 口 启 用 VRRP 并 加 入 相应 VGMP 组 


。 通 过 配置 HRP Track 方式 ， 将 上 行 接口 加 入 到 VGMP 管 理 组 中 , 监测 点 厂 
行业 务 接口 状态 


。 防火 墙 心 跳 口 的 选择 ; | 
。 需 根 据 HRP 状 态 调整 OSPF COST; 


会 话 快 速 备份 
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。 配置 时 应 注意 : 


0 防火 墙 业务 口 和 心跳 口 都 采用 TGE 板 卡 ， 交 换 机 相连 的 接口 上 起 VRRP 并 加 入 
VGMP 组 ， 同 时 通过 HRP TRAGK 路 由 器 的 上 行 口 ; 


oO 防火 墙 和 上 行路 由 器 起 OSPE, ,形成 动态 路 由 ，OSPF 区 域 尽 量 只 包含 在 防火 墙 和 
路 由 器 ， 这 样 路 由 收敛 非常 快速 ， 防 火 墙 倒 换 过 后 OSPF 能 很 快 收敛 。 同 时 不 要 引 
入 心跳 口 的 IP 地 址 的 路 由 so 保证 心跳 口 不 转发 数据 ; 

oO 两 人 台 防 火 墙 形成 主 备 组 网 ， 需 要 在 防火 墙 上 配置 根据 HRP 的 状态 调整 OSPF 的 cost 
值 的 命令 ， 根 据 HRP 状 态 调整 OSPF 的 cost 值 采用 默认 值 65500 就 可 以 ， 如 果 由 于 
组 网 特殊 需要 可 以 调整 这 个 值 ; 


oO 配置 会 话 快速 备份 功能 ， 保 证 发 生 故障 防火 墙 倒 换 之 后 不 影响 业务 。 


双 机 热 备 典型 组 网 (路 由 模式 + 上 路 由 器 下 
交换 机 ) 配 置 思 路 





关键 配置 


# 配置 接口 GigabitEthernet 0O/O/I 的 VRRP 备 份 组 1， 并 加 入 到 状态 为 
Master 的 VGMP 管 理 组 : 

[USG_A] interface GigabitEthernet 0/0/1 

[USG_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 1.1.1.2 master 4 
在 上 行业 务 接口 配置 hrp track 功 能 ， 将 接口 加 入 状态 为 Master 的 VGMP 管 理 组 s 


[USG_A] interface GigabitEthernet 0/0/3 


[USG_A-GigabitEthernet0/0/3] hrp track master 
配置 根据 HRP 状 态 调 整 OSPF 相 关 的 COST 值 命令 功能 。 
[USG_A] hrp ospf-cost adjust-enable 
指定 GigabitEthernet 0/0/2 为 心跳 口 。 
[USG_A] hrp interface GigabitEthernet 0/0/2 
启用 HRP 备 份 功 能 。 
[USG_A] hrp enable 
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双 机 热 备 典型 组 网 (交换 模式 + 路 由 器 /交换 机 ) 


。 组 网 概述 : 


o ”故障 检测 :将 连接 交换 机 接口 VRRP 备份 组 添加 到 VGMP 管 理 组 ， 由 VGMP 来 检测 防火 墙 下 行 
接口 运行 状态 ; USG 的 上 行业 务 接口 连接 路 由 器 ， 通 过 HRP Track 方式 由 VCMP 管 理 组 直接 
监测 接口 状态 ; 


流量 切换 :交换 机 VRRP 虚 地 址 实现 流量 切换 ,路 由 器 和 防火 墙 运 行动 态 路 由 协议 ， sa 
值 根据 HRP 状 态 自动 调整 确保 来 回报 文 从 主 防火 墙 通过 ; 


由 HRP 负 责 数据 在 双 机 之 间 的 备份 。 
Router GO/0/1 
itch 


G0/0/2 
GO/0/2 


G0/0/T Be G0/0/3 
Portswitch Portswiteh Router 


“ 
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双 机 热 备 典型 组 网 (交换 模式 + 路 由 器 / 
交换 机 ) 场 景 分 析 


| 。USG 上 、 下 行业 务 接口 都 工作 在 二 层 ， 加 入 同一 个 
1 VLAN 中 ， 收 到 的 所 有 报 文 都 在 VLAN 内 转发。 


。 在 VLAN 下 配置 hrp track 功 能 ， 通 过 VGMP 管 理 组 监控 
VLAN 状 态 。 





。 建议 将 上 下 行业 务 接口 加 入 同一 个 Link-group 组 。 
(上 下 行 设 备 为 路 由 器 ) 





。 启用 HRP 备 份 功能 。 
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USG 上 、 下 行业 务 接口 都 工作 在 二 层 ， 加 六 同一 个 VLAN 中 ， 收 到 的 所 有 报 文 都 在 
VLAN 内 转发 。 


在 VLAN 下 配置 hrp track 功 能 ， 通 过 VGMP 管 理 组 监控 VLAN 状 态 。 当 一 个 接口 故障 
时 ，VLAN 内 所 有 接口 都 DOwn，VLAN 所 在 的 VGMP 管 理 组 优先 级 降低 ， 从 而 实现 两 台 
USG 的 状态 切换 。 


建议 将 上 下 行业 务 接口 加 入 同 了 个 Link-group 组 ， 当 其 中 一 个 接口 因 故障 而 状态 变 为 
Down， 将 会 触发 组 内 所 有 接 因 的 状态 变 为 Down， 从 而 保证 上 、 下 行路 由 器 上 的 路 由 快 
速 收敛 。 

启用 HRP 备 份 功能 ， 对 两 合 USG 的 状态 和 关键 配置 进行 实时 备份 ， 以 避免 流量 倒 换 后 
业务 中 断 。 


双 机 热 备 典型 组 网 (交换 模式 + 路 由 器 /交换 
机 ) 配 置 思路 





关键 配置 


。 配置 GigabitEthernet 0/0/1 工 作 在 二 层 模式 。 
[USG_A] interface GigabitEthernet 0/0/1 


[USG_A-GigabitEthernet0/0/1] portswitch 
。 创建 VLAN， 并 在 VLAN 视 图 下 配置 hrp track 功 能 ， 将 接口 加 多 


状态 为 Master 的 VGMP 管 理 组 中 。 
[USG A] VLAN 2 
[USG_A-VLAN-2] hrp track master 
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结果 验证 


。 在 USG_A 上 进入 VLAN 视 图 下 执行 display this 命 令 ， 检 查 VLAN 2 下 的 配置 
， 显 示 以 下 信息 表示 HRP 配 置 成 功 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved 





双 机 热 备 与 NAT 结 合 组 网 


。 组 网 概述 : 
USG 作 为 安全 设备 被 部 署 在 业务 节点 上 。 
其 中 上 下 行 设备 均 是 交换 机 ，USG_A、USG_B 以 主 备 备份 方式 工作 ， 且 上 下 得 
业务 接口 工作 在 三 层 。 &X 
内 网 用 户 可 以 通过 公 网 地 址 访问 Internef， 公 网 地 址 范围 为 2.2.2.5 一 2. 人 2.6 


USG A FTP Server 
Switch1 Master Switch3 2.2.2.3/24 


internet 


Switch2 Trust Slave Untrus 
4 
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双 机 热 备 与 NAT 结 合 组 网 场景 分 析 


。 此 种 场景 防火 墙 之 间 为 双 机 热 备 并 且 防 火 墙 也 为 NAT 设 
备 ， 保 证 内 网 用 户 能 通过 NAT 获 得 公 网 地 址 访问 
Internet。 


中。 。 由 于 NAT 地 址 池 地 址 与 VRRP 备 份 组 的 虚拟 IP 地 址 在 
2 同一 个 网 段 ， 则 需要 将 地 址 池 绑 定 该 VRRP 备 份 组 。 
。 如 涉及 FTP 等 多 通道 协议 应 用 ， 需 增加 NAT 
置 。 
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双 机 热 备 与 NAT 结 合 组 网 配置 思路 





双 机 热 备 与 NAT 结 合 组 网 天 键 配 置 


。 防火 墙 基本 配置 ( 略 ) 
。 双 机 热 备 配置 
# 配置 接口 GigabitEthernet 0/0/1 的 VRRP 备 份 组 1， 加 入 到 状态 为 Master 的 VGMP 管 理 组 。 
[USG_A] interface GigabitEthernet 0/0/1 
[USG_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master 


# 配置 接口 GigabitEthernet 0/0/3 的 VRRP 备 份 组 2， 加 入 到 状态 为 Master 的 VGIMP 管 理 组 。 
[USG_A] interface GigabitEthernet 0/0/3 
[USG_A-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 2.2.2.1 master 
# 指定 GigabitEthernet 0/0/2 为 心跳 口 。 
[USG_A] hrp interface interface GigabitEthernet 0/0/2 
# 启 用 HRP 备 份 功能 。 
[USG_A] hrp enable 
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双 机 热 备 与 NAT 结 合 组 网 天 键 配 置 


。 NAT 配 置 
HRP_MI[USG_A] nat address-group 1 2.2.2.5 2.2.2.6 vrrp 2 
HRP_M[USG_A] nat-policy interzone trust untrust outbound 
HRP_M[USG_A-nat-policy-interzone-trust-untrust-outbound] policy 1 


HRP_MI[USG_A-nat-policy-interzone-trust-untrust-outbound-1] policy source 
10.100.10.0 0.0.0.255 


HRP_MI[USG_A-nat-policy-interzone-trust-untrust-outbound-1] action source- 
nat 


HRP_MI[USG A-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 
# 开启 NAT ALG 功 能 ， 保 证 内 网 用 户 可 以 与 外 网 的 FTP 服 务 器 传输 数据 。 
HRP_M[USG_A] firewall interzone trust untrust 





HRP_MI[USG A-interzone-trust-untrust] detect ftp 
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当 NAT 地 址 池 地 址 或 者 NAT Server 的 公 网 IP 地 址 与 YRRP 组 的 虚拟 IP 地 址 在 同一 网 段 时 ， 
需要 将 地 址 池 或 者 NAT Server 绑 定 该 VRRP 组 ， 防 止 上 下 行 设备 向 NAT 地 址 池 或 者 NAT 
Server 的 公 网 IP 发 送 ARP 请 求 时 ， 两 合 USG 都 会 回应 ARP 报 文 ， 从 而 造成 冲突 ， 影 响 正常 
业务 的 运行 。 


在 此 案例 中 ， 将 NAT 地 址 池 1 与 VYRRP 组 2 进行 绑 定 。 


。 检查 VRRP 组 内 接口 的 状态 信息 





结果 验证 


。 检查 当前 HRP 的 状态 信息 





双 机 热 备 负载 分 担 组 网 路 由 模式 ，) 


。 组 网 概述 : 
。 USG 作 为 安全 设备 被 部 署 在 业务 节点 上 。 
o 上 下 行 设备 均 是 路 由 器 . 
。 USG_A、USG_B 以 负载 分 担 方式 工作 ， 业 务 接口 工作 在 三 层 。 所 


FTPrServer 
Router3 2.2.2.3/24 


Master 


PC = 
1.1.1.3/24 ”上 国 辣 GO/0/3 SE 


ee G0/0/2 Cowrr 2 


RR 
> 
[< 





internet 


Router2 Router4 
Trust UsG_B Ontrdst 
“ 
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双 机 热 备 负载 分 担 组 网 场景 分 析 


。 两 台 USG 互 为 备份 并 将 根据 业务 流 情 况 作 负载 分 担 。 











。 USG 与 路 由 器 之 间 运 行 OSPF， 并 在 上 下 行路 由 器 配置 
等 价 路 由 ， 分 担 业 务 流量 

















。 无 需 根据 HRP 状 态 调 整 O3PF 值 。 








。 配置 OSPF 时 ， 为 保证 心跳 口 不 转发 业务 报 文 ， 不 将 心 
跳 口 IP 地 址 的 路 由 引入 OSPF 区 域 。 








。 配置 会 话 快速 备份 功能 解决 来 回路 径 不 一 致 的 情况 。 
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. USG 上 、 下 行业 务 口 工作 在 三 层 ， 需 要 配置 IP 地 址 ;两 全 USG 与 上 、 下 行路 由 器 间 运 行 
OSPF 协 议 ， 通 过 OSPF 将 业务 流量 送 到 不 同 的 USG 设 备 上 。 

. 负载 分 担 组 网 时 ， 两 台 U3G 都 要 转发 业务 流量 ， 可 以 通过 在 上 、 下 行路 由 器 配置 等 价 路 
由 (相同 的 OSPF Cost 值 ) 的 方式 ， 将 业务 流量 通过 Oo9?PF 分 别 送 到 两 台 U?G 上 。 当 其 
中 一 台 UsG 发 生 故 障 时 ，OSPF 司 内 自动 收 伐 ， 将 业务 送 到 没有 故障 的 U3G 上 。 


3. 负载 分 担 组 网 时 ， 无 需 配 置 根据 月 RP 状 态 调 整 ODSPF 的 COST 值 功能 。 


. 负载 分 担 组 网 中 ， 两 全 WSG 设 备 互 为 主 备 ， 因 此 需要 在 上 下 行业 务 接口 上 既 配 置 hrp 
track master 又 配置 hrp track slave。 

. USG 和 上 、 下 行路 由 器 运行 OSPF 动 态 路 由 协议 ，OSPF 区 域 尽量 只 包含 USG 和 路 由 器 
， 这 样 路 由 收敛 速度 快 ，Us3G 发 生 主 备 倒 换 后 D3PF 能 快速 收效 。 同 时 不 要 引入 心跳 口 
IP 地 址 的 路 由 保证 心跳 口 不 转发 业务 报 文 。 

. 启用 HRP 备 份 功能 ， 对 两 合 USG 的 状态 和 关键 配置 进行 实时 备份 ， 以 避免 流量 倒 换 后 ， 
业务 中 断 。 

. 在 USG 上 配置 会 话 快速 备份 功能 ， 保 证 在 来 回路 径 不 一 致 的 情况 下 报 文 可 以 正常 转发 。 


双 机 热 备 负载 分 担 组 网 配置 思路 





双 机 热 备 负载 分 担 组 网 天 键 配 置 


。 防火 墙 基础 配置 略 
。 双 机 热 备 配 置 (USG_A) 


o 在 上 、 下 行业 务 接口 配置 hrp track 功 能 ， 将 接口 同时 加 入 状态 为 
Master 和 slave 的 VGMP 管 理 组 。 X 


[USG_A] interface GigabitEthernet 0/0/1 
[USG_A-GigabitEthernet0/0/1] hrp track master 
[USG_A-GigabitEthernet0/0/1] hrp track slave 
[USG_A] interface GigabitEthernet 0/0/3 
[USG_A-GigabitEthernet0/0/3] hrp track master 
[USG_A-GigabitEthernet0/0/3] hrp track slave 
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双 机 热 备 负载 分 担 组 网 天 键 配 置 


o 在 USG_A 上 配置 运行 OSPF 动 态 路 由 协议 。 
[USG_A] ospf 101 
[USG_A-ospf-101] area 0 
[USG_A-ospf-101-area-0.0.0.0] network 10.100.10.0 0.0.0.255 
[USG_A-ospf-101-area-0.0.0.0] network 10.100.30.0 0.0.0.255 
o 指定 GigabitEthernet 0/0/2 为 心跳 口 。 
[USG_A] hrp interface GigabitEthernet 0/0/2 
o 启用 HRP 备 份 功 能 。 
[USG_A] hrp enable 
o 启用 会 话 快速 备份 功能 。 
HRP_MIUSG_A] hrp mirror session enable 
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总 结 


。 双 机 热 备 相关 协议 原理 及 配置 
BFD 原 理 及 配置 
Link-group 原 理 和 配置 
IP-Link 原 理 与 配置 
bypass 技 术 原理 与 配置 
Eth-Trunk 原 理 和 配置 
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@ 思考 题 


防火 墙 双 机 热 备 有 哪 几 种 主要 场景 ? 
BFD 是 什么 ?有 何 作 用 ? 
Link-group 是 什么 ? 有 何 作 用 ? 
IP-Link 是 什么 ?有 何 作 用 ? 
bypass 是 什么 ” 有 何 作用 ? 
Eth-Trunk 是 什么 ?有 何 作 用 ? 
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。 防火 墙 双 机 热 备 有 哪 几 种 主要 场景 ? 
答题 要 点 : 根据 防火 墙 的 工作 模式 及 卡 下 行 设备 区 分 为 不 同 的 应 用 场景 。 
。 BFD 是 什么 ?有 何 作用 ? 


答题 要 点 : BFD (BidirectionalsForwarding Detection) 是 双向 转发 检测 ， 用 于 快 
速 检 测 系统 之 间 的 通信 故障 ， 并 在 出 现 故障 时 通知 上 层 应 用 。 


。 Link-group 是 什么 ?有 和 何 作用 ? 

答题 要 点 : 将 多 个 物理 接口 的 状态 相互 绑 定 ， 组 成 一 个 逻辑 组 ;如 果 组 内 任意 接口 出 
现 故障 ， 系 统 将 组 内 其 它 接口 状态 设置 为 Down; 当 组 内 所 有 接口 恢复 正常 后 ， 整 个 组 内 
的 接口 状态 才 重 新 被 设置 为 Up。 
。 IP-Link 是 体 么 ”有 何 作用 ? 


答题 要 点 六 防火 墙 ip-link 功 能 是 一 种 检测 三 层 链 路 是 否 可 达 的 功能 。 可 用 于 检测 远 端 
链 路 是 否 可 达 。 


。 bypass 是 什么 ? 有 何 作用 ? 
答题 要 点 : 从 硬件 bypass 接 口 和 软件 bypass 命 令 来 分 别 理解 。 


s。 Eth-Trunk 是 什么 ? 有 何 作 用 ? 
答题 要 点 : E-trunk 功 能 是 绑 定 多 个 以 太 网 接口 ， 形 成 一 个 逻辑 接口 组 。 


练习 题 


。 判断 是 
1. HRP 技 术 可 以 实现 备 防火 墙 不 需要 配置 任何 信息 ， 所 有 配置 信息 均 由 


X 


主 防 火 墙 通过 HRP 同 步 至 备 防火 墙 ， 且 重启 后 配置 信息 不 丢失 。 
。 单 选 题 
1. 以 下 哪个 技术 可 实现 对 非 直接 链 路 状态 进行 检测 ? 
A. VGMP B. ip-link C. Eth-trunk Dakipk-group 
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习题 与 答案 : 


1. HRP 技 术 可 以 实现 备 防火 墙 不 需要 配置 任何 信息 ， 所 有 配置 信息 均 由 主 防火 墙 通 
过 HRP 同 步 至 备 防火 墙 ， 且 重启 后 配置 信息 不 丢失 。 


答案 : 错误 
2， 以 下 哪个 技术 可 实现 对 非 直接 链 路 状态 进行 检测 ? 
A.VGMP B. ip-liAK C. Eth-trunk D. Link-group 


答案 : B 














人 
Wo 2 
化 


Thank you 
www.huawei.com 





HC120310003 
庶 拟 防火 墙 技术 





@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
理解 虚拟 防火 墙 的 技术 原理 
掌握 虚拟 防火 墙 配置 方法 
熟悉 虚拟 防火 墙 技 术 应 用 
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@ 目录 

1. 虚拟 防火 墙 技术 介绍 
2. 虚拟 防火 墙 技 术 原 理 
3， 虚拟 防火 墙 应 用 分 析 
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企业 网 络 安全 面临 的 问题 
业务 应 用 多 样 | 轩 安全 投资 维 挤 | 


安全 防护 细 公 国安 全 业务 隔 商 | 


网 络 环境 日 渐 
复杂 ， 安 全 防 
护 的 要 求 越 来 
越 细 化 。 


网 络 中 业务 应 
用 越 来 越 多 ， 
为 保障 业务 数 
据 安全 ， 急 需 
实现 业务 间 的 
安全 隔离 。 


单纯 的 物理 网 
络 隔离 已 经 无 
法 适应 网 络 结 
构 的 复杂 化 和 
业务 应 用 的 多 
样 化 要 求 


越 来 越 多 的 防 
火 墙 等 安全 讼 N 
备 布 署 ,Ga 佑 战 / 
投资 不 晓 庸 大 
设备 继 护 压力 


, 越 来 越 大 ， 负 


担 越 来 越 重 


Mb huawel 
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随 着 网 络 技术 的 普及 ， 网 络 规模 不 断 扩大 ,其 应 用 和 复杂 度 也 在 不 断 增加 。 对 一 个 网 
络 环境 复杂 的 运营 商 网 络 或 企业 网 来 说 ,通常 包括 很 多 不 同 的 省 市 /部 门 / 群 组 ， 此 时 网 络 
上 承载 着 各 种 不 同 的 复杂 应 用 。 很 多 时 候 上 需要 对 这 些 不 同 部 门 / 群 组 用 户 的 访问 权限 进 
行 控制 、 不 同业 务 间 的 网 络 传输 也 需要 安全 隔离 ， 这 种 隔离 指 的 是 访问 、 传 输 、 应 用 端 到 
端的 隔离 。 

对 于 有 业务 和 应 用 隔离 需求 的 用 户 来 说 ， 传 统 的 物理 网 络 隔离 无 法 满足 需求 ; 网 络 安 
全 设备 的 大 量 重复 采购 ， 造 成 设备 管理 及 安全 策略 的 布 署 困难 ， 大 大 增加 了 用 户 投资 和 网 
络 建设 、 运 维 、 管 理 方面 的 负担 。 为 了 达到 隔离 目的 ， 同 时 节约 投资 成 本 ， 提 出 了 单个 防 
火 墙 作为 多 个 防火 墙 来 用 的 需求 ， 虚 拟 防火 墙 技术 应 运 而 生 。 


虚拟 防火 墙 技 术 是 在 一 个 物理 防火 墙 设备 上 虚拟 出 多 个 逻辑 上 防火 墙 的 技术 。 


1DC 发 展 面临 的 挑战 


。 互联 网 规模 呈 级 数 增长 ， 越 来 越 多 的 应 用 服务 器 通过 IDC 托 管 ，IDC 的 设备 维护 压力 
越 来 越 大 ; 

。 互联 网 安全 事件 呈 不 断 上 升 趋势 ，IDC 为 保障 托管 服务 器 安全 不 断 加 大 投入 ; 

。 传统 的 防火 墙 安全 防护 方式 已 经 逐渐 不 能 适应 业务 发 展 的 需要 。 X 
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IDC (Internet Data Center 互 联网 数据 中 心 )< 主 要 为 ICP (Internet Content Provider 
internet 内 容 提 供 商 ) 、 企 业 、 媒 体 和 各 类 网 站 提供 大 规模 、 高 质量 、 安 全 可 靠 的 专业 化 
服务 器 托管 、 空 间 租 用 、 网 络 批发 带宽 以 及 ASP (Active Server Pages 动态 服务 器 网 页 ) 、 
EC(Electronic Commerce 电子 商务 ) 等 业务 。 随 着 互联 网 规模 的 不 断 扩 大 ， 各 种 业务 应 用 
的 服务 器 数量 越 来 越 庞大 ，IDC 机 房 中 越 来 越 多 的 服务 器 需要 安全 防护 。 


传统 防护 方式 是 多 人 台 服 务 器 前 端 放置 一 全 防火墙 ， 以 保护 服务 器 安全 。 如 图 所 示 。 


在 IDC 机 房 中 ， 并 不 是 所 有 的 服务 器 都 会 同时 遭受 外 来 黑客 的 攻击 。 通 常 ， 遭 受 攻击 
的 仅 是 其 中 的 某 人 台 服 务 器 或 其 应 用 ， 例 如 WEB 服 务 器 、 邮 件 服务 器 。 一 旦 托管 的 某 从 服务 
器 遭受 攻击 ， 防 火 墙 会 耗费 大 量 系统 资源 来 抗击 黑客 的 攻击 流量 ， 由 于 防火 墙 处 在 网 络 出 
口 节点 ， 系 统 资源 的 大 量 消耗 会 严重 影响 其 它 服 务 器 的 正常 应 用 ， 正 所 谓 城 门 失火 快 及 池 
鱼 ， 势 必 导 致 IDC 的 服务 质量 大 大 降低 。 

而 为 每 一 台 托 管 服务 器 配置 一 台 防 火 墙 ， 会 造成 托管 成 本 大 大 提高 ， 同 时 ， 大 量 布 署 
的 网 络 安全 设备 也 会 造成 维护 工作 量 持续 增加 ， 维 护 成 本 的 不 断 提 高 。 虚 拟 防火 墙 技术 解 
决 了 以 上 一 系列 问题 ， 在 IDC 得 到 较 广 泛 的 应 用 。 


虚拟 防火 墙 技 术 在 1DC 的 优势 


节约 硬件 | ， | 简化 运 维 
投资 降低 ; ' 工作 降低 
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虚拟 防火 墙 支持 多 实例 解决 方案 ， 可 以 将 一 合 防火 墙 从 逻辑 上 划分 为 多 人 台 虚 拟 防火 墙 
， 分 别 为 多 个 小 型 私有 网 络 提供 独立 的 安全 保障 。 实 现 虚拟 防火 墙 的 传统 方式 是 通过 在 接 
口上 绑 定 VPN 实 例 ， 将 接口 收 到 报 文 发 送 人 至 相应 的 VPN 实 例 中 ， 每 一 个 VPN 实 例 即 代表 一 
个 虚拟 防火 墙 。 当 需要 根据 IP 地 址 来 区 分 属于 不 同 虚拟 防火 墙 的 报 文 时 ， 可 以 使 用 IP 分 流 
功能 ， 将 报 文 分 流 到 相应 的 VPN 实 例 溯 即 虚 拟 防 火 墙 ) 中 。 与 在 接口 上 绑 定 VPN 实 例 的 方 
式 相 比 ，IP 分 流 功能 的 配置 和 使 用 更 如 简单 ， 同 时 可 以 节省 设备 的 接口 资源 。 


系统 资源 都 按 业 务 规划 分 配 到 各 个 独立 的 虚拟 防火 墙 ， 各 个 虚拟 防火 墙 能 够 独立 防御 
针对 自己 保护 的 服务 器 和 应 用 的 攻击 ， 既 使 其 中 某 个 虚拟 防火 墙 系统 资源 被 网 络 攻击 耗 尽 ， 
也 不 会 影响 其 他 的 虚拟 防火 墙 系统 ， 其 它 的 服务 器 和 应 用 仍然 可 以 正常 运行 ， 保 障 了 IDC 
运营 的 稳定 性 ， 大 大 提高 fIDC 整 体 服务 质量 ; 


虚拟 防火 墙 技术 上 大 大 降低 了 防火 墙 硬件 设备 资金 投入 ， 用 一 人 台 防 火 墙 就 可 以 达到 多 
合 防火 墙 防护 水 平 ;、 从 托管 用 户 方面 来 看 ， 所 属 服务 器 相当 于 由 一 人 台独 立 的 防火 墙 来 保护 ， 
提升 了 安全 防护 能 力 ， 用 户 满意 程度 也 会 大 幅 提 升 ， 吸 引 更 多 托管 用 户 ， 从 而 间接 的 增加 
了 IDC 的 营业 额 ; 从 IDC 运 营 角 度 来 说 ， 网 络 管理 员 只 需要 对 一 台 防 火 墙 进行 管理 ， 达 到 
对 多 台 设 备 统一 管理 的 目的 ， 大 大 降低 了 管理 难度 ， 减 少 了 维护 的 复杂 度 。 


虚拟 防火 墙 技 术 应 用 场景 一 


。 虚拟 防火 墙 出 租 业 务 

虚拟 防火 墙 技术 为 数据 中 心 提 供 虚 拟 防 火 墙 租 售 服务 ， 其 中 虚拟 防火 墙 实 
例 VFW-1 租 给 企业 A， 虚 拟 防 火 墙 实 例 VFW-2 租 给 企业 B， 企 业 A 和 企业 B 可 以 
地 址 重 受 ， 并 使 用 防火 墙 下 挂 的 交换 机 的 VLAN 划 分 出 的 不 同 虚 拟 局 域 网 





虚拟 防火 墙 技术 为 运营 商 或 大 型 企业 提供 虚拟 防火 墙 租 售 服务 ， 其 中 虚拟 防火 墙 实例 
VFW1 租 给 企业 A， 虚 拟 防火 墙 实例 VFW2 租 给 企业 B， 企 业 A 和 企业 B 可 以 地 址 重 又 ， 并 使 
用 防火 墙 下 挂 的 交换 机 的 YLAN 划 分 出 的 不 同 虚 拟 局 域 网 。 其 中 虚拟 防火 墙 实 例 VYFW1 和 实 
例 VFW2 均 由 根 防 火 墙 管理 员 进 行 创建 , 而 各 虚拟 防火 墙 相 关 配 置 (如 NAT 多 实例 、VPN 
多 实例 等 ) 由 各 虚拟 防火 墙 管理 员 自 行 来 配置 ， 但 各 虚拟 防火 墙 的 管理 员 用 户 需 根 防火 墙 
管理 员 事 先 创建 。 


。 利用 虚拟 防火 墙 技术 ， 将 苦 台 防火 墙 逻辑 上 划分 为 两 个 虚拟 防火 墙 YFYW1、VFW2， 分 
别 租 给 企业 和 A 和 企业 B, 为 企业 A 和 企业 B 提 供 安全 防护 ; 

。 系统 为 虚拟 防火 墙 YFW1、VFW2 分 别提 供 独立 的 系统 资源 ， 之 间 互 不 影响 ; 

。 对 用 户 透 明 ， 企 业 人 与 企业 B 之 间 业 务 完全 隔离 ， 与 使 用 分 别 单独 布 署 防火 墙 一 样 ; 

。 企业 A 分 为 TTUst、Dmz 和 Untrust 区 ， 其 中 trust 为 内 部 网 络 ，Dmz 区 部 署 对 外 服务 器 ， 
Untrust 区 拥有 公 网 地 址 ; 企业 B 分 为 TTust、Dmz 和 Untrust 区 ， 其 中 Trust 为 内 部 网 络 ， 
Dmz 区 提供 对 外 服务 器 ，Untrust 区 拥有 私 网 地 址 。 
通过 虚拟 防火 墙 的 应 用 ， 有 效 的 解决 传统 防火 墙 的 不 足 ， 实 现 了 灵活 部 属 ， 简 化 了 网 

络 结构 ; 管理 员 对 各 自 的 虚拟 防火 墙 进行 管理 ， 互 不 影响 ， 大 大 减轻 了 维护 工作 量 ; 为 运 

营 商 或 企业 减轻 了 投资 ， 只 需 购 买 一 台 设 备 即 可 为 不 同 用 户 提供 各 自 的 安全 服务 。 


虚拟 防火 墙 技术 应 用 场景 二 
。VPN 多 实例 业务 


两 个 VPN 的 出 差 用 户 ， 在 公 网 通过 RootVFW 登 录 到 私 网 的 VPN 中 ， 并 直接 
访问 私 网 资源 。 


VPN-2 的 出 差 员工 
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防火 墙 提供 的 VYPN 多 实例 业务 具有 如 下 一 特点 : 

。 安全 性 高 : VPN 用 户 的 接 入 是 通过 防火 墙 的 验证 和 授权 ， 接 入 之 后 的 访问 是 采用 独立 的 
虚拟 防火 墙 系统 对 用 户 进行 管理 。 不 同 VRN 用 户 的 资源 是 完全 隔离 ; 

。 VPN 接 入 方式 灵活 可 靠 : 可 以 支持 从 公 网 到 VPN， 也 可 以 支持 从 VPN 到 VPN 两 种 模式 ; 

。 接 入 控制 权限 严格 : 防火 墙 可 以 根据 用 户 名 、 密 码 来 控制 访问 YPN 的 接 入 权限 ， 这 样 可 
以 使 得 出 差 员 工 、 超 级 用 户 / (需要 访问 不 同 YPN 资 源 ) 等 不 同 的 用 户 具备 不 同 的 访问 权 
限 。 


虚拟 防火 墙 技 术 应 用 场景 三 


。 MPLS 网 络 与 iP 网 络 的 无 颖 集成 
防火 墙 放置 在 一 个 MPLS 骨 干 网 络 的 出 口 ， 做 为 一 个 MPLSVPN 网 络 统一 访 
问 Internet 的 出 口 设备 。 路 由 器 做 PE， 防 火 墙 做 为 MCE。 


独立 地 保存 三 份 NAT 表 ， 可 承担 
不 同 VPN 用 户 的 NAT 服 务 











采用 不 同 的 VEAN 子 接口 对 应 不 
同 VPN 的 为 式 ， 防 火 墙 和 PE 设 
备 连 接 
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利用 虚拟 防火 墙 、 地 址 转换 多 实例 、multSVRF 等 VPN 隔 离 技术 ， 将 防火 墙 放置 在 一 
个 MPLS 骨 干 网 络 的 出 口 ， 做 为 一 个 MRLSYPN 网 络 统一 访问 Internet 的 出 口 设备 。 在 
MPLS 网 络 之 外 承担 MCE (muti - CE)\ 的 访 能 ， 在 防火 墙 的 出 入 接口 划分 不 同 的 VLAN 或 
逻辑 子 接口 ， 将 不 同 的 分 支 机 构 或 不 同 的 业务 通过 进出 不 同 的 VLAN 或 子 接口 进入 不 同 的 
虚拟 防火 墙 VPN 实 例 ， 从 而 达到 了 隔离 的 目的 ， 为 MPLSVPN 统 一 提供 Intemet 访 问 。 
。 支持 完善 的 安全 防范 业务 ， 可 以 避免 来 自 Internet 的 攻击 ， 保 护 整 个 MPLS 网 络 的 安全 ， 
。 支持 完善 的 VLAN、VRF、OSPF、BGP 等 技术 ， 可 以 很 好 的 解决 MPLS 网 络 和 IP 网 络 

的 融合 问题 


。 支持 业务 多 实例 特性 , ` 资 源 独立 存放 ， 可 以 很 好 的 解决 私 网 地 址 重 琶 的 问题 。 


虚拟 防火 墙 应 用 场景 四 


不 同 企业 间 有 不 同 的 UTM 过 滤 需 求 ， 为 了 满足 这 些 需求 ， 需 要 在 USC 上 启 
用 虚拟 防火 墙 。 不 同 需求 的 企业 划分 到 各 自 的 虚拟 防火 墙 中 ， 在 虚拟 防火 
墙 中 实现 各 自 的 UTM 需 求 。 


企业 B 用 户 
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UTM (Unified Threat Management)s 可 以 将 多 种 安全 功能 集成 于 一 个 设备 中 ， 保 护 
用 户 不 受 多 种 网 络 威胁 的 侵扰 。 

UTM 虚 拟 化 即 在 虚拟 防火 墙 中 配置 WTMs 通过 绑 定 虚拟 防火 墙 ， 可 以 在 不 同 的 虚拟 防 
火 墙 上 实现 不 同 的 UTM 需 求 。 在 不 同 的 虚拟 防火 墙 上 进行 自 定义 配置 支持 公共 模式 组 、 
Web 过 滤 、 邮 件 内 容 过 滤 、FTP 过 滤 和 DPI。 


但 以 下 特性 不 支持 在 虚拟 防火 墙 中 进行 自 定 义 配置 ， 只 能 使 用 根 防 火 墙 上 的 配置 ， 包 
括 IPS、AV、RBL、 各 类 特征 库 、《AV 病 毒 库 、IPS 签 名 库 、URL 热 点 库 、DPI 知 识 库 ) 。 


全 目录 
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四 多 huawel 





虚拟 防火 墙 技 术 发 展 


。 虚拟 防火 墙 技术 实现 经 历 了 两 个 过 程 : 
o 转发 多 实例 : 


存在 多 张 路 由 表 、 转 发 表 ， 支 持 地 址 重叠， 都 在 同一 配置 界面 上 突现 ， 
拥有 配置 权限 的 用 户 可 以 配置 和 查看 所 有 的 数据 。 


o 转发 多 实例 + 配置 多 实例 


某 一 实例 下 的 用 户 只 能 查看 和 配置 与 自己 相关 的 内 容 和 信息 ， 不 能 跨 
VPN 查 看 和 修改 数据 ， 具 有 超级 用 户 权 限 的 用 户 除外 。 


Copyright ©2013 Huawei Technologies Co. ,Ltd. All rights reserveds Page12 HUAWEI 





虚拟 防火 墙 是 在 一 个 物理 防火 墙 设备 上 虚拟 出 多 个 逻辑 上 防火 墙 ， 其 核心 内 容 是 能 够 
支持 转发 多 实例 ， 即 支持 多 张 路 由 表 支 持 地 址 重 夺 等 内 容 。 

转发 多 实例 + 配置 多 实例 的 实现 能 帝 来 方 个 好 处 ， 即 在 组 网 划分 完 之 后 ， 系 统管 理 员 
可 以 将 各 VPN 交 给 各 VPN 管 理 员 ， 系 统管 理 员 不 再 关心 各 VPN 细 节 。 这 样 能 使 实现 组 网 配 
置 的 分 级 管理 以 及 VPN 出 租 业 务 , YPN 出 租 后 由 用 户 自己 管理 ， 既 带 来 了 管理 的 方便 性 又 
节约 了 维护 成 本 。 

目前 ， 转 发 多 实例 + 配置 多 实例 方式 已 经 成 为 现在 业界 主流 的 虚拟 防火 墙 实现 技术 。 


虚拟 防火 墙 技 术 原 理 


。 虚拟 防火 墙 都 是 VPN 实 例 (VPN-Instance) 、 安 全 实例 和 配置 实例 
等 的 综合 体 。 
。 虚拟 防火 墙 提供 如 下 多 实例 : 
5 VPN 多 实例 S% 
o 安全 多 实例 
0 配置 多 实例 
o NAT 多 实例 
5 路 由 多 实例 
0 UTM 多 实例 
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每 个 虚拟 防火 墙 都 是 VPN 实 例 (VPN-lnstahieé) 、 安 全 实例 和 配置 实例 的 综合 体 ， 能 
够 为 虚拟 防火 墙 用 户 提供 私有 的 路 由 转发 平面 安全 服务 和 配置 管理 平面 。 
。 VPN 实 例 

VPN 实 例 为 虚拟 防火 墙 提 供 相互 隔离 的 VPN 路 由 ， 与 虚拟 防火 墙 相关 的 信息 主要 包括 : 
VPN 路 由 以 及 与 YPN 实例 绑 定 的 接 因 ws VPN 路 由 将 为 转发 来 自 与 VPN 实例 绑 定 的 接口 的 报 
文 提 供 路 由 支持 。VPN 实 例 与 虚拟 防火 墙 是 一 一 对 应 的 。 
。 安全 实例 

安全 实例 为 虚拟 防火 墙 提 供 相互 隔离 的 安全 服务 ， 同 样 与 虚拟 防火 墙 一 一 对 应 。 安 全 
实例 具备 私有 的 区 域 入 域 间 ACL 规 则 组 和 NAT 地 址 池 ， 并 且 能 够 将 绑 定 接口 加 入 私有 区 
域 ; 安全 实例 能 够 为 虚拟 防火 墙 提 供 地 址 绑 定 、 黑 名 单 、 地 址 转换 、 包 过 滤 、 统 计 、 攻 击 

范 、ASPF 和 NATAKG 等 私有 的 安全 服务 。 

。 配置 实例 


re le St i a mn 与 虚拟 防火 墙 是 一 一 对 应 。 
虚拟 防火 墙 用 户 登 陆 防 火 墙 后 有 权 管 理 和 维护 私有 的 VPN 路 由 和 安全 实例 。 创 建 虚拟 防火 
墙 后 ， 逻 辑 上 ， 防 火 墙 将 分 为 两 类 : 根 防 火 墙 (Root-firewall,Rfw) 和 虚拟 防火 墙 。 根 防 
火 稍 对 应 于 未 配置 虚拟 防火 墙 功 能 的 防火 墙 ， 并 和 所 有 虚拟 防火 墙 构成 超级 防火 墙 
(Super-firewall,Sfw) 。 超 级 防火 墙 用 户 有 权 管 理 根 防 火 墙 和 所 有 虚拟 防火 墙 。 


。 NAT 实 例 
NAT 实 例 为 虚拟 防火 墙 用 户 提供 相互 隔离 的 NAT 服 务 ， 与 虚拟 防火 墙 一 一 对 应 。 


虚拟 防火 墙 技 术 特 扣 


一 台 物 理 防火 墙 


1 
I | 虚拟 防火 墙 | 
\ 国 _iawxN 


。 每 个 虚拟 防火 墙 系统 可 以 支持 TRUST、UNTRUST、DMz、local 等 安全 区 域 ， 
接口 灵活 划分 和 分 配 ; 

。 虚 系 统 资源 独立 分 配 ， 安 全 业务 独立 提供 ,支持 VPN 多 实例 ; 

。 可 以 通过 一 台 防 火 墙 为 多 个 VPN 用 户 提 供 安 全 服务 。 
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为 了 和 创建 的 虚拟 防火 墙 区 别 ， 设 备 本 身 称 为 根 防火 墙 。 在 创建 虚拟 防火 墙 之 后 ， 需 
要 配置 接口 绑 定 虚拟 防火 墙 并 加 入 其 安全 域 AS 再 配置 虚拟 防火 墙 的 相关 包 过 滤 策略 及 路 由 ， 
以 实现 虚拟 防火 墙 内 部 的 基本 通信 。 若 要 实现 虚拟 防火 墙 和 根 防 火 墙 之 间 的 通信 ， 则 还 需 
配置 二 者 之 间 的 包 过 滤 策略 以 及 路 由 。 


虚拟 防火 墙 技术 特点 : 


提供 路 由 多 实例 、 安 全 多 实例 、 配 置 多 实例 、NAT 多 实例 、VPN 多 实例 ， 应 用 灵活 ， 
可 满足 多 种 组 网 需要 。 


每 个 虚拟 防火 墙 均 可 以 独立 支持 TRUST、UNTRUST、DMZ、LOCAL 等 4 个 安全 区 域 
(USG5000 系 列 支 持 YZENE 区 域 ， 通过 VZONE 区 域 实现 虚拟 防火 墙 之 间 的 互 访 ) ， 接 口 
灵活 划分 和 分 配 。 

资源 独立 分 配 , 每 个 虚 系 统 的 转发 表 项 等 资源 是 独立 分 配 的 ， 从 技术 上 保证 了 每 一 个 
虚 系统 和 一 个 独立 防火 墙 从 实现 上 是 一 样 的 ， 而 且 非 常安 全 ， 各 个 虚 系 统 之 间 是 无 法 直接 
访问 。 只 有 在 虚 系 统 之 间 引 入 了 对 方 的 路 由 ， 才 可 以 使 得 虚 系统 之 间 可 以 通信 。 

所 有 的 安全 业务 都 可 以 针对 虚 系 统 独立 配置 。 例 如 ， 包 过 滤 、NAT、 攻 击 防 范 等 等 。 
这 样 在 用 户 使 用 虚 系 统 服务 的 时 候 ， 也 可 以 同时 享受 防火 墙 所 能 提供 的 各 种 安全 业务 。 

每 个 虚 系 统 提供 独立 的 管理 员 权 限 ， 针 对 虚 系统 的 管理 员 只 能 管理 本 虚 系 统 的 相关 配 
置 入 也 只 能 看 到 自己 虚 系统 的 配置 。 对 虚 系统 管理 员 而 言 ， 他 只 能 看 见 一 个 虚拟 独立 的 防 
火 墙 配置 。 

USG9300 系 列 最 大 提供 1024 个 虚拟 防火 墙 ， 其 它 设备 (USG5000 系 列 、USG3000 系 
列 ) 均 可 提供 100 个 虚拟 防火 墙 ， 提 供 了 灵活 可 靠 的 组 网 保障 。 
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虚拟 防火 墙 配置 思路 


开始 


配置 虚拟 防火 墙 管理 员 
新 建 虚 拟 防火 墙 si 


| | 
| 配置 庶 拟 防火墙 的 安全 策略 | 


配置 虚拟 防火 墙 资源 
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虚拟 防火 墙 配 置 思路 : 


配置 定义 多 实例 ->@@ 多 实例 和 接 国 绑 定 ->@ 将 接口 分 别 加 入 域 ->@ 配 置 虚拟 防 
火 墙 的 内 部 的 域 间 包 过 滤 和 路 由 ， 以 实现 虚拟 防火 墙 的 内 部 的 基本 通信 一 > @ 若 需 实现 根 
防火 墙 和 虚拟 防火 墙 之 间 的 通信 ， 请 配置 三 者 之 间 的 域 间 包 过 滤 和 静态 路 由 


。 虚拟 防火 墙 由 超级 用 户 创建 ， 创 建 步 又 包括 : 
Do 定义 VPN 实 例 ; 
o 配置 接口 与 VPN 实例 的 绑 定 ; 
o 配置 本 地 用 户 与 VPN 实 例 的 绑 定 。 


虚拟 防火 墙 配 置 步骤 (1) 


。 创建 /删除 VPN 实 例 
o 创建 /删除 VPN 实 例 


[wpnaol] ip vpn-instance vpn-instance-name [vpn-id vpn-id] 人 


。 为 VPN 实 例 指定 路 由 标识 
o 为 VPN 实 例 指 定 路 由 标识 


route-distinguisher vpn-route-distinguisher 
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缺 省 情况 下 ， 未 创建 虚拟 防火 墙 。 

在 执行 ip vpn-instance 命 令 时 ， 如 果 相 应 的 虚拟 防火 墙 已 经 创建 ， 则 可 以 直接 配置 ip 
vpn-instance vpn-instance-name 进 入 该 虚拟 防火 墙 视图 ; 否则 ， 必 须 配置 vpn-id 后 ， 才 能 
进入 虚拟 防火 墙 视图 。 

USG5000 防 火 墙 支持 100 个 虚拟 防火 墙 ， 虚 拟 防 火 墙 ID 范 围 为 1 一 100， 可 提供 99 个 
VFW 配 置 。 

RD 用 于 区 分 使 用 相同 地 扯 室 间 的 IPv4 前 缀 ， 不 能 用 于 判断 某 条 路 由 的 发 起 者 ， 也 不 能 
判断 某 条 路 由 属于 哪个 VPN。 滑 务 供应 商 可 以 独立 地 分 配 RD， 但 必须 保证 RD 全 局 唯一 。 
这 样 ， 即 使 来 自 不 同 服务 提供 商 的 VPN 使 用 了 相同 的 IPv4 地 址 空间 ， 防 火 墙 也 可 以 向 各 
VPN 发 布 不 同 的 路 由 。 当 防火 墙 收 到 私 网 路 由 后 ， 为 实现 私 网 路 由 的 独立 性 ， 需 要 将 这 些 
私 网 路 由 附加 RD 后 引入 到 公 网 路 由 表 中 。 当 RD 为 全 0 时 ， 表 示 该 IPv4 路 由 是 普通 路 由 。 

注意 : 

1) 创建 YVRN 实 例 后 ， 需 要 为 该 VPN 实例 指定 路 由 标识 ， 否 则 不 能 进行 后 续 配置 ; 

2)《 虚 拟 防 火 墙 的 ID 不 能 重叠 。 


虚拟 防火 墙 配 置 步骤 〈2) 


。 配置 接口 绑 定 VPN 实 例 
o 配置 接口 与 VPN 实 例 的 绑 定 
lp binding vpn-instance vpn-instance-name py 
fo ~ 


o 取消 接口 与 VPN 实 例 的 绑 定 
Undo ip binding vpn-instance vpn-instance-name 
o 缺 省 情况 下 ， 未 配置 接口 与 VPN 实 例 之 间 的 绑 定 。 
o 配置 举例 : 
[USG5000]interface ethernet4/0/1 
[USG5000-Ethernet4/0/1]ip binding vpn-instance vfw1 
[USG5000-Ethernet4/0/1]ip address192.168.1.1255W255.255.0 
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配置 接口 时 ， 需 要 首先 配置 接口 绑 定 YPN 实 例 ， 再 配置 接口 IP 地 址 。 如 果 顺 序 相反 ， 
最 初 配置 的 接口 IP 地 址 会 被 删除 ， 需 要 重新 配置 。 


虚拟 防火 墙 配置 步 又 (3) 


。 配置 接口 加 入 安全 域 
o 进入 VPN 实 例 的 安全 区 域 视图 
Firewall zone [ vpn-instance vpn-instance-namel] [name] zone-name 


o 配置 安全 区 域 的 安全 级 别 


Set priority security-priority 
o 配置 接口 加 入 安全 区 域 


Add interface interface-type interface-number 


o 缺 省 情况 下 ， 接 口 未 加 入 安全 域 。 
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注意 事项 : 
。 创建 一 个 VPN 实 例 的 安全 区 域 后， 需要 设置 它 的 安全 级 别 ; 
。 配置 接口 加 入 安全 区 域 时 ， 需 要 保证 接口 与 安全 区 域 同属 于 一 个 VPN 实 例 。 


虚拟 防火 墙 配置 步骤 〈4) 


。 配置 域 间 转 发 策略 
o 进入 VPN 实 例 的 域 间 防 火 墙 策略 视图 


Policy inter zone vpn-instance vpn-instance-name zone-name1 zome- 


name2 {inboundloutbound} 
o 创建 并 进入 策略 ID 视图 
Policy [policy-id] 
o 指定 防火 墙 策略 的 源 地址 
Policy source {source-address{source-wildcard| Olmask{mask gddress| 


mask-len¥y|laddress-set{address-set-name}&<1-256>| egin- 
addressend-address |any} 
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进入 虚拟 防火 墙 的 各 安全 区 域 后 ， 转 发 策略 同和 在 根 防火 墙 上 配置 相似 。 


虚拟 防火 墙 配置 步骤 〈5) 


o 指定 防火 墙 策略 的 目的 地 址 


Policy destination {destination-address faesiination-wiladcardlolmasK 


{mask-address |mmashk-lem 虽 aaaress-set {address-set-name}&<1- ~ 
256>|range begin-addres send-address |any } 人 2 


o 指定 防火 墙 策略 的 服务 集 
Policy service service-set{service-set-name}&<1-256> OO 
o 配置 防火 墙 策略 的 动作 ~ 
Action { permit | deny } AR 
。 配置 虚拟 防火 墙 内 部 转发 报 文 的 路 由 
ba 
ip route-static vpn-instance vpn-instance-name 个 一 《4 人 本 本 本 纪 { 
mask | mask-length } nexthop-address Sa 
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若 需 实现 根 防 火 墙 和 虚拟 防火 墙 之 间 的 通信 3 需要 配置 二 者 之 间 的 域 间 包 过 滤 和 静态 
路 由 。 


虚拟 防火 墙 配置 步骤 〈6) 


。 配置 根 防 火 墙 和 虚拟 防火 墙 之 间 的 通信 
o 进入 根 防 火 墙 的 Trust 和 虚拟 防火 墙 VYPN1 的 Untrust 域 间 
policy interzone trust vpn-instance vpn1 untrust inbound | 
配置 根 防火 墙 的 Trust 和 虚拟 防火 墙 VPN1 转 发 策略 ( 略 ) 扩 
配置 根 防 火 墙 向 VPN1 转 发 报 文 的 路 由 


ip route-static destination-address { mask | mask-length SR 
VPN1 nexthop-address PP 


配置 VPN1 向 根 防 火 墙 转发 报 文 的 路 由 
ip route-static vpn-instance VPN1 AN | mask- 


length } nexthop-address public 
或 ip route-static vpn-instance VPN1 YA {mask | mask- 


length } interface-type interface-number [ nexthdp:address ] 
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配置 虚拟 防火 墙 管 理 员 


。 执行 命令 aaa， 进 入 AAA 视 图 。 
。 创建 用 户 
local-user user-name password cipher password 
配置 本 地 用 户 与 虚拟 防火 墙 的 绑 定 
local-user user-name vpn-instance vpn-instance-name 
对 指定 用 户 配置 服务 类 型 。 
local-user user-name service-type { ssh | telnet | web } ~、 | 
o 与 虚拟 防火 墙 绑 定 的 本 地 用 户 仅 支 持 SSH，Telnet，Web 服 务 类 型 。 
配置 用 户 的 优先 级 


local-user User-name level level 
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根 防 火 墙 的 用 户 可 以 通过 console、web、t 论 Iriet、SSH 方 式 配置 和 管理 根 防火 墙 和 所 
有 虚拟 防火 墙 。 


虚拟 防火 墙 的 用 户 只 能 通过 web、telnets SSH 方 式 配置 和 管理 其 所 属 的 虚拟 防火 墙 。 


透明 模式 虚拟 防火 墙 配置 


。 透明 模式 虚拟 防火 墙 所 有 接口 为 二 层 接口 ， 需 配置 VLAN 与 VPN 
绑 定 ， 配 置 如 下 : 


o 创建 VLAN 并 进入 VLAN 视 图 


Vlan vian-id < 


o 将 VLAN 和 VPN 实 例 绑 定 


Binding vpn-instance vpn-instance-name AR 


o 进入 以 太 网 接口 视图 ， 设 置 端口 所 属 的 缺 省 VLAN 


Interface interface-type interface-number 


令 
Port default vlan vian-id x 


o 其 他 配置 与 路 由 模式 相同 。 
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透明 模式 的 虚拟 防火 墙 通过 将 VLAN 和 虚拟 防火 墙 进行 一 一 绑 定 ， 实 现 网 络 中 同一 网 
股 地址 的 相互 隔离 。 


透明 模式 的 虚拟 防火 墙 使 处 在 同一 网 段 相 同 VLAN 中 的 地 址 能 相互 访问 ， 不 同 VLAN 中 
的 不 能 访问 。 当 两 个 不 同 VLAN 网 络 牛 存在 相同 IP 时 ， 根 防火 墙 不 能 实现 对 同一 IP 采 用 不 
同 的 安全 策略 ， 故 通过 配置 透明 模式 的 虚拟 防火 墙 可 以 将 两 个 VLAN 绑 定 到 不 同 的 虚拟 防 
火 墙 ， 从 而 实现 对 该 场景 的 支持 6 
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虚拟 防火 墙 的 应 用 分 析 


。 组 网 需求 : 


20 USG5000 统 一 安全 网 关 向 外 提供 出 租 UTM 业 务 ，VPN 实 例 vfw1 租 给 企 
业 A，vfw2 租 给 企业 B。 


GE0/0/0 
GEO/0/1 |2.1.2.1/24 
192.168.2.1/24 
GEO0/0/2 
10.1.1.1/24 


GE0/0/3 
10.1.1.1/24, 
192.168.1.1/24 


Viw2 Viw1 
人 rs 人 oz 
NS 
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企业 A 和 企业 B 能 够 地 址 重 圣 ; 


两 个 私有 网 络 均 分 别 划分 为 Trust、DMZ (Demilitarized Zone) 、Untrust 三 个 安全 区 


域 。 其 中 ，Trust 安 全 区 域 部 署 内 部 用 户 ，DMZ 安 全 区 域 部 署 对 外 服务 器 ，Untrust 安 全 区 
域 部 署 外 部 用 户 ; 


Trust 安 全 区 域内 的 用 户 通过 公 网 地 址 访问 外 部 网 络 ; 
Untrust 安 全 区 域 的 用 户 能 够 访问 DMZ 安 全 区 域 的 服务 器 。 


虚拟 防火 墙 配置 实例 〈1) 


在 根 防 火 墙 上 配置 基本 UTM 过 滤 : (以 IPS 签 名 库 配置 为 例 ) 
配置 运行 模式 为 UTM 


[USG] runmode utm 


启用 IPS 功 能 ， 并 配置 IPS 工 作 模式 为 protective 使 阻 断 响应 生 仇 : 


[USG] ips enable 


[USG] ips mode protective 
配置 IPS 策 略 。 ( 略 ) 
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IPS 策 略 配置 配置 参考 命令 : 

创建 IPS 策 略 protecthttp: 
[USG] ips policy protecthttp 
[USG-ips-policy-protecthttpjsignature-set abc 
[USG-ips-policy-protecthttp-signset-abc] direction enable 
[USG-ips-policy-protecthttp-signset-abc] direction to-server 
[USG-ips-policy-protecthttp-signset-abc] severity enable 
[USG-ips-policy-protecthttp-signset-abc] severity above critical 
[USG-ips-policy-protecthttp-signset-abc] protocol enable 
[USG-ips-policy-protecthttp-signset-abc] protocol http 
[USG-ips=policy-protecthttp-signset-abc] signature-set enable 
[YSG-ips:policy-protecthttp-signset-abc] signature-set action block 

应 用 IRS 策 略 : 
[USG] policy interzone dmz untrust inbound 
[USG-policy-interzone-dmz-untrust-inbound] policy 0 
[USG-policy-interzone-dmz-untrust-inbound-0] action permit 


[USG-policy-interzone-dmz-untrust-inbound-0] policy ips protecthttp 


虚拟 防火 墙 配 置 实例 (2) 


。 完成 企业 A 的 配置 
2 创建 VPN 实 例 vfw1 
[USG5000]ip vpn-instance vfw1 vpn-id1 
[USG5000-vpn-vfw1l]route-distinguisher 100:1 
o 配置 接口 绑 定 到 Vfw1 
[USG5000]interface GigabitEthernet0/0/2 
[USG5000-GigabitEthernet0/0/2]ip binding vpn-instance vfwi 
[USG5000-GigabitEthernet0/0/2]ip address10.1.1.124 
o GigabitEthernet1/0/0、GigabitEthernet1/0/1 配 置 略 
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创建 VPN 实 例 后 ， 需 要 同时 配置 路 由 标识 ,否则 不 能 进行 后 续 配 置 ; 


需要 首先 配置 接口 与 YPN 实例 的 绑 定 和 \ 再 配置 接口 IP 地 址 。 如 果 配 置 顺序 相反 ， 先 配 
置 的 地 址 会 被 删除 ; 


接口 与 安全 区 域 需要 均 属于 同志 VPN 实 例 ， 否 则 无 法 成 功 将 接口 加 入 安全 区 域 。 
企业 B 的 相应 配置 为 : 


# 创 建 VPN 实 例 vfw2 

[USG5000]ip vpn2instance vfw2 vpn-id2 
[USG5000-vpn-vfw1jroute-distinguisher 100:2 

# 配 置 接口 绑 定 到 Vfw2 

[USG5000jinterface GigabitEthernet0/0/3 
[USG5000-GigabitEthernet0/0/3]ip binding vpn-instance vfw2 
[USG5000-GigabitEthernet0/0/3]ip address10.1.1.124 


#GigabitEthernet1/0/0、GigabitEthernet1/0/1 配 置 略 


虚拟 防火 墙 配置 实例 (3) 


o 配置 接口 加 入 安全 域 
[USG5000]firewall zone vpn-instance vfw1 trust 
[USG5000-zone-trust-vfw1]add interface GigabitEthernet0/0/2 
[USG5000]firewallzonevpn-instance vfw1 dmz 
o GigabitEthernet1/0/0、GigabitEthernet1/0/1 配 置 略 

。 配置 Trust 安 全 区 域 的 用 户 可 以 通过 公 网 地 址 访问 外 部 网 络 
o 配置 NAT 地 址 池 
USG5000]nat address-group12.1.1.5 2.1.1.10 vpn-instance vfw1 
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企业 B 相 应 配置 为 : 

# 配 置 接口 加 入 安全 域 

[USG5000]firewall zone vpn-instance vfw2 trust 
[USG5000-zone-trust-vfw2]add interface GigabitEthernet0/0/3 
#GigabitEthernet0/0/0、GigabitEthernet0/0/1 配 置 略 

配置 Trust 安全 区 域 的 用 户 可 以 通过 公 网 地 址 访问 外 部 网 络 

# 配 置 NAT 地 址 池 

USG5000]nat address-group 12.1.2.5 2.1.2.10 vpn-instance vfw2 


虚拟 防火 墙 配置 实例 (4) 


o 配置 Trust 到 Untrust 域 间 出 方向 的 防火 墙 策略 

[USG5000]policy interzone vpn-instance vfw1 trust untrust outbound 
[USG5000-policy-interzone-trust-untrust-vfw1-outboundjpolicy1 
[USG5000-policy-interzone-trust-untrust-vfw1-outbound-1]policy source 10.1.1.0 @.0,0.255 
[USG5000-policy-interzone-trust-untrust-vfw1-outbound-1]action permit 


o 配置 Trust 到 Untrust 域 间 出 方向 的 NAT 策 略 
[USG5000]nat-policy interzone vpn-instance vfw1 trust untrust outbound 
[USG5000-nat-policy-interzone-trust-untrust-vfw1-outboundjpolicy4 


[USG5000-nat-policy-interzone-trust-untrust-vfw1-outbound-1]policy soUrce 10.1.1.0 
0.0.0.255 


[USG5000-nat-policy-interzone-trust-untrust-vfw1-outbound- 和 action source-nat 


[USG5000-nat-policy-interzone-trust-untrust-vfw1-outboundsfjaddress-group1 
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企业 B 相 应 配置 为 : 

# 配 置 Trust 到 Untrust 域 间 出 方向 的 防火 墙 策略 
[USG5000]policy interzone vpn-instance vfw2 trust untrust outbound 
[USG5000-policy-interzonestfrustuntrust-vfw2-outboundjpolicy1 


[USG5000-policy-interzone-trust-untrust-vfw2-outbound-1]policy source 10.1.10 
0.0.0.255 


[USG5000-policy-interzone-trust-untrust-vftw2-outbound-1]action permit 
# 配 置 Trust 到 Untrust 域 间 出 方向 的 NAT 策 略 

[USG5000jnat-policy interzone vpn-instance vfw2 trust untrust outbound 

[USG5000snat-policy-interzone-trust-untrust-vftw2-outbound]policy1 


[USG5000-nat-policy-interzone-trust-untrust-vftw2-outbound-1]policy source 
10.1.10:0’ 0.0.0.255 


[YSG5000-nat-policy-interzone-trust-untrust-vfw2-outbound-1]action source-nat 


[USG5000-nat-policy-interzone-trust-untrust-vfw2-outbound-1]address-group1 


虚拟 防火 墙 配置 实例 〈5) 


配置 外 部 网 络 用 户 可 以 访问 内 部 服务 器 
o 配置 vfw1 的 内 部 服务 器 


[USG5000]nat server zone vpn-instancevfw1untrust global 2.1.1.100 inside 
192.168.1.2 vpn-instance vfw1 &X 


o 配置 vftw1 的 DMZ 和 Untrust 域 间 防 火 墙 策 略 
[USG5000]policy interzone vpn-instance vfw1 dmz untrust inbound 
[USG5000-policy-interzone-dmz-untrust-vfw1-inboundjpolicy1 


[USG5000-policy-interzone-dmz-untrust-vfw1-inbound-1]policy destination 
192.168.1.2 0 


[USG5000-policy-interzone-dmz-untrust-vfw1-inbound-1]actionspermit 
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企业 B 相 应 配置 为 : 
# 配 置 vfw2 的 内 部 服务 器 


[USG5000]nat server zone vpn-instance viw2 untrust global 2.1.2.100 inside 


192.168.2.2 vpn-instance vfw2 

此 处 的 内 部 服务 器 应 属于 VPN 实 例 vfw2。 

# 配 置 vVf{w2 的 DMZ 和 Untrust 域 间 防 火 墙 策略 

[USG5000]policy interzone vpn-instance vfw2dmz untrust inbound 
[USG5000-policy-:intérzone-dmz-untrust-vftw2-inbound]jpolicy1 


[USG5000-policy-interzone-dmz-untrust-vftw2-inbound-1]policy destination 
192.168.2.20 


[USG5000spolicy-interzone-dmz-untrust-vftw2-inbound-1]action permit 


虚拟 防火 墙 配置 实例 (6) 


。 配置 企业 A 的 UTM 过 滤 规 则 : (以 FTP 过 滤 为 例 ， 禁 止 下 载 文件 类 
型 为 AVI 的 文件 ) 
[USG] ftp-filter policy ftppolicy vpn-instance a 


[USG-ftp-filter-policy-ftppolicy-a] download file-type group download action po 


在 域 间 应 用 UTM 策 略 : 

[USG] policy interzone vpn-instance a trust untrust outbound 
[USG-policy-interzone-trust-untrust-a-outbound] policy 0 
[USG-policy-interzone-trust-untrust-a-outbound-0] action permit 
[USG-policy-interzone-trust-untrust-a-outbound-0] policy ips ips 


[USG-policy-interzone-trust-untrust-a-outbound-0] policyftp-filter ftppolicy 
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公共 策略 组 配置 参考 命令 : 

创建 文件 扩展 名 模式 组 download， 将 关键 字 AVI 加 入 到 公共 模式 组 中 。 
[USG] pattern-group download type file-extension vpn-instance a 
[USG-pattern-group-fe-download-a] pattern avi 
[USG-pattern-group-fe-download-a] quit 
[USG] pattern configurelcommit 

企业 B 相 应 配置 为 : 

配置 企业 B 的 UTM 过 滤 规 则 : 
[USG!] ftp-filter poliey ftppolicy vpn-instance b 
[USG-ftp-filter-policy-ftppolicy-a] download file-type group download action block 

在 域 间 应 用 UTM 策 略 : 
[USG] policy interzone vpn-instance b trust untrust outbound 
[USGipolicy-interzone-trust-untrust-a-outbound] policy 0 
[USGipolicy-interzone-trust-untrust-a-outbound-0] action permit 
[USG-policy-interzone-trust-untrust-a-outbound-0] policy ips ips 


[USG-policy-interzone-trust-untrust-a-outbound-0] policy ftp-filter ftppolicy 


总 结 


。 虚拟 防火 墙 的 技术 原理 
。 虚拟 防火 墙 配置 方法 
。 虚拟 防火 墙 技术 应 用 
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@ 思考 是 


。 虚拟 防火 墙 的 技术 原理 是 什么 ? 
。 在 配置 虚拟 防火 墙 时 需要 注意 的 是 什么 ? 
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虚拟 防火 墙 的 技术 原理 是 什么 ? 


答题 要 点 : 虚拟 防火 墙 是 在 一 个 物理 防火 墙 设备 上 虚拟 出 多 个 逻辑 上 防火 墙 。 其 核心 
内 容 是 能 够 支持 转发 多 实例 。 可 以 将 多 张 路 由 表 、 转 发 表 ， 文 持 地 址 重 芝 ， 都 在 同一 配置 
界面 上 实现 ， 拥 有 配置 权限 的 用 户 可 以 配置 和 查看 所 有 的 数据 。 

在 配置 虚拟 防火 墙 时 需要 注意 的 是 什么 ? 


答题 要 点 : 配置 虚拟 防火 时 相关 参数 时 ， 需 要 在 命令 行 中 增加 vpn-instance 指 定 需 
进入 的 虚拟 防火 墙 。 


@ 练习 题 


。 判 断 是 
1. 没 有 虚拟 防火 墙 管理 员 的 概念 ， 对 虚拟 防火 墙 的 管理 只 能 由 根 防火 墙 管 
理 进行 统一 管理 。 
2 虚拟 防火 墙 A 与 谨 拟 防火 墙 B 之 间 可 以 实现 业务 交互 ， 但 虚拟 防火 墙 洒 名 
与 根 防火 墙 实现 业务 交互。 
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习题 与 答案 : 

1、 没 有 虚拟 防火 墙 管 理 员 的 概念 ， 对 虚拟 防火 墙 的 管理 只 能 由 根 防 火 墙 管理 进行 统 
一 管理 。 

答案 : 错误 


2、 虚 拟 防火 墙 和 与 虚拟 防火 墙 B 之 间 可 以 实现 业务 交互 ,但 虚拟 防火 墙 不 能 与 根 防 火 
墙 实 现 业务 交互 。 


人 
Su 
化 


Thank You 
www.huaweili.com 





HC120310005 
防火 墙 VPN 高 级 应 用 





目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 

掌握 IPSec VPN 高 级 特性 及 配置 

o 掌握 L2TP over IPSEC VPN 高 级 特性 及 配置 
党 


口 


握 SSL VPN 双 机 热 备 应 用 场景 


口 
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全 目录 


VPN 基础 知识 回顾 
. IPSec VPN 典 型 应 用 介绍 





. L2TP Over IPSec 应 用 分 析 


.SSL 应 用 分 析 
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VPN 技 术 回 顾 
L2TP VPN IPSecVPN SSLVPN 


APP + Data | APP + ata | 
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L2TP VPN 封 装 了 PPP 协 议 ， 为 二 层 VRN 技 本 IPSec YPN 封装 网 络 层 协 议 ， 为 三 层 
VPN 技 术 ; SSL VPN 主要 为 应 用 层 HTTP 协 议 进行 保护 。 


VPN 技 术 应 用 场景 


。 远程 用 户 拨号 接 | |。 主机 到 主机 远程 用 户 通过 @ = 
入 内 网 资源 。 主机 到 防火 墙 HTTP 服 务 建 站 一 


SSL VPN 隧 道 、 


。 安全 网 关 之 间 、 
接 入 内 网 资源 
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IPSce VPN 应 用 场景 主要 由 以 下 三 种 类 型 : 
。 网 关 (如 防火 墙 ) 之 间 


此 种 应 用 场景 也 叫 点 到 点 或 点 到 多 点 IPSec VPN， 主 要 用 于 公司 总 部 与 分 支 机 构 之 间 
建立 IPSec 隧 道 ， 从 而 实现 局 域 网 之 间 互 通 。 


。 主机 与 网 关 之 间 
主要 用 于 出 差 员工 通过 瑟 联 网 需要 访问 总 部 资源 时 。 
。 主机 与 主机 之 间 


主机 之 间 通 过 互联 网 进行 数据 传输 ， 需 要 加 密 时 ， 加 解密 操作 在 主机 侧 完成 。 某 些 场 
景 中 ， 例 如 服务 器 放 在 DMZ 区 域 ， 防 火 墙 配置 NAT server, 也 可 以 实现 


L2TP 协议 栈 结构 及 封闭 过 程 


。 L2TP 协 议 栈 结构 
| 公有 P 头 UDP|t2TP|PPP| 私有 P 头 | Dato | 


。L2TP 封 装 过 程 


物理 层 
急 


Client LAC ENS Server 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved, Page 6 HUAWEI 





L2TP 为 什么 是 二 层 VPN 协 议 ? 在 L2TPVPN 协 议 报 文 头 中 ， 其 内 封装 了 PPP 报 文 。 
LAC 封 装 来 自 Client 的 PPP 报 文 时 ， 封 装 过 程 如 下 : 

封装 L2TP 头 : 其 中 包含 了 用 于 标识 该 消息 的 Tunnel ID 和 Session ID， 这 两 个 ID 信息 
都 是 Remote 端 的 ID 而 不 是 本 地 了 信息 。 

封装 UDP 头 : 用 于 标识 上 层 应 用 受 L2TP 注 册 了 UDP 1701 端 口 ， 当 LNS 收 到 了 该 端口 
的 报 文 时 能 够 辨别 出 这 是 上 2TP 报 文 从 而 送 入 L2TP 处 理 模 块 进行 处 理 。 

封装 公 网 IP 头 : 用 于 该 报 文 在 IP 网 (Internet) 转发 ， 注 意 LAC 使 用 L2TP 隧 道 的 起 点 
和 终点 地 址 来 封装 公 网 IP 头 . 

LNS 收 到 L2TP 报 文 以 后 ， 解 封装 过 程 如 下 : 

检查 公 网 IP 头 和 UDP 头 信息 : LNS 首 先 通过 UDP 端口 标识 该 报 文 为 L2TP 报 文 ， 然 后 检 
查 公 网 IP 头 的 源 目 的 地 址 是 否 和 本 地 已 经 建立 成 功 的 L2TP 隧 道 源 目 的 地 址 相同 ， 如 果 
相同 则 解 封装 公 网 IP 头 和 UDP 头 ， 否 则 丢弃 报 文 。 

检查 上 2TP 关 信息 : LNS 读 取 L2TP 头 中 的 Tunnel ID 和 Session ID 信息 ， 检 查 其 是 否 和 
本 地 已 经 建立 成 功 的 L2TP Tunnel ID 和 L2TP Session ID 相同 ， 如 果 相 同 则 解 封装 ， 
和 否则 丢弃 报 文 。 

检查 PPP 头 信息 : LNS 检 查 PPP 头 中 的 相关 信息 是 否 正确 ， 然 后 解 封装 PPP 头 。 


得 到 私 网 IP 报 文 : 此 时 LNS 处 理 报 文 的 过 程 就 和 收 到 一 个 普通 的 IP 报 文 处 理 过 程 一 致 
， 将 私 网 中 报 文 送 入 上 层 模块 或 者 进行 路 由 处 理 。 








mm ww AN PP 





L2TP 会 话 建 立 过 程 


LAC 
LAC 党 Radius Server 
gd 辐 | 0 


Call Setup 
PPP LCP Setup 








PAP or CHAP 





一 一 » | 
authentication | Access request 
Access request | 








Tunnel establishment | 
PAP or CHAP authentication Z| 





| 





User phfAPSresponse 


PPP negotiation 得 Access request， 
We :Access request : 
) : 





| CHAP authentication twice 
(challenge/respons 








| Authentication passes 


* 
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L2TP 会 话 建立 过 程 : 

用 户 端 PC 机 发 起 呼叫 连接 请 求 。 

PC 机 和 LAC 端 进行 PPP LCP 协 商 。 

LAC 对 PC 机 提供 的 用 户 信息 进行 PAP 或 CHAP 认 证 。 

LAC 将 认证 信息 (用 户 名 、 之 码 ) 发 送 给 RADIUS 服务 器 进行 认证 。 

RADIUS 服 务 器 认证 该 用 户 ,$ 如果 认 证 通过 则 返回 该 用 户 对 应 的 LNS 地 址 等 相关 信息 
， 并 且 LAC 准 备 发 起 Tunnel 连 接 请 求 。 

LAC 端 向 指定 LNS 发 起 Tunnel 连 接 请 求 。 

LAC 端 向 指定 LNS 发送 CHAP challenge 信息 ，LNS 回 送 该 challenge 响 应 消息 

CHAPresponse,， 并 发 送 LNS 侧 的 CHAP challenge，LAC 返 回 该 challenge 的 响应 消 

息 CHAPresponse。 

隧道 验证 通过 。 

LAC 端 将 用 户 CHAP response、response identifier 和 PPP 协 商人 参数 传送 给 LNS。 


NS 将 接 入 请 求 信息 发 送 给 RADIUS 服务 器 进行 认证 。 
。 RADIUS 服务 器 认证 该 请 求 信息 ， 如 果 认 证 通 过 则 返回 响应 信息 。 
若 用 户 在 LNS 侧 配置 强制 本 端 CHAP 认 证 ， 则 LNS 对 用 户 进 行 认证 ,发送 CHAP 


challenge， 用 户 侧 回应 CHAP response。 


IPSec VPN 体 系 结构 





IPSec VPN 体 系 结构 


AH: 验证 头 | ESP: 封装 安全 载荷 
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IPSec VPN 体 系 结构 主要 由 AH、ESP 和 长 E 加 入 套件 组 成 。IPSec 通 过 ESP 来 保障 IP 数 
据 传输 过 程 的 机 密 性 ， 使 用 AH/ESP 提 供 数据 完整 性 、 数 据 源 验证 和 抗 报 文 重 放 功能 。ESP 
和 AH 定义 了 协议 和 载荷 头 的 格式 及 所 提供 的 服务 ， 但 却 没 有 定义 实现 以 上 能 力 所 需 具体 
转 码 方式 ， 转 码 方式 包括 对 数据 转换 方式 ， 如 算法 、 密 钥 长 度 等 。 为 简化 IPSec 的 使 用 和 
管理 ，IPSec 还 可 以 通过 IKE 进 行 自动 协商 交换 密 钥 、 建 立 和 维护 安全 联盟 的 服务 。 具 体 介 
绍 如 下 : 


AH 协 议 : AH 是 报 文 头 验证 协议 ， 主 要 提供 的 功能 有 数据 源 验证 、 数 据 完整 性 校 验 和 
防 报 文 重 放 功 能 。 然 而 ，AHN 并 不 加 密 所 保护 的 数据 报 。 


ESP 协 议 : ESP 是 封装 安全 载荷 协议 。 它 除 提供 AH 协议 的 所 有 功能 外 〈 但 其 数据 完整 
性 校 验 不 包括 IP 头 ) ，` 还 可 提供 对 IP 报 文 的 加 密 功能 。 


IKE 协 议 : IKE 协 议 用 于 自动 协商 AH 和 ESP 所 使 用 的 密码 算法 。 


IPSec VPN 的 特点 


IPSec (Internet 协议 安全 ) 是 一 个 工业 标准 网 络 安全 协议 , 为 IP 网 
络 通信 提供 透明 的 安全 服务 。IPSec 可 以 提供 : 

o 访问 控制 

o 无 连接 的 完整 性 、 数 据 来 源 验证 X 


o 防 重 放 
o 机 密 性 (加密 ) 


在 IP 层 对 数据 保护 基于 策略 的 安全 保护 
。 对 于 上 层 应 用 是 透明 ; 。 定义 安全 保护 的 粒度 ; 
。 对 于 底层 通信 没有 任何 特殊 。 可 以 灵 活 的 制订 策略 满足 复 
要 求 。 杂 的 安全 需求 。 
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IPSec (Internet 协议 安全 ) 是 一 个 工业 标准 网 络 安全 协议 ， 为 IP 网 络 通信 提供 透明 的 
安全 服务 ， 保 护 TCP/IP 通信 免 遭 窃听 和 自 改 $ 可 以 有 效 抵御 网 络 攻击 ， 同 时 保持 易 用 性 。 
IPSec 可 以 提供 : 

。 访问 控制 

通信 对 等 体 认 证 机 制 ， 对 于 通信 的 对 等 体 进行 认证 ， 从 而 完成 访问 控制 功能 。 
。 无 连接 的 完整 性 、 数 据 来 源 验证 

通过 报 文 认证 ， 防 止 传输 过 程 中 数据 被 自 改 ， 确 保 发 出 数据 和 接收 数据 的 一 致 性 。 
IPSec 利用 Hash 函 数 为 每 个 数据 包产 生 一 个 加 密 校 验 和 ， 接 收 方 在 打开 包 前 先 计算 校 验 和 ， 
若 包 遭 自 改 导 致 校 验 和 不 相符 ， 数 据 包 即 被 丢弃 。 

。 防 重 放 

通过 AH 或 者 ESR 的 防 重 放 窗 口 结合 认证 ， 来 抵御 重 放 攻击 。 确 保 每 个 IP 包 的 唯一 性 ， 
保证 信息 万 全 被 截取 复制 后 ， 不 能 再 被 重新 利用 、 重 新 传输 回 目的 地 址 。 该 特性 可 以 防止 
攻击 者 截取 破译 信息 后 ， 再 用 相同 的 信息 包 冒 取 非 法 访问 权 (即使 这 种 冒 取 行 为 发 生 在 数 
月 之 后 ) 。 

。 机 密 性 (加密 ) 

通过 ESP 的 加 密 功 能 以 及 ESP 协 议 的 报 文 填充 功能 来 完成 。 在 传输 前 ， 对 数据 进行 加 密 ， 
可 以 保证 在 传输 过 程 中 ， 即 使 数据 包 草 截取， 信息 也 无 法 被 读 出 。 该 特性 在 IPSec 中 为 可 
选项 ， 与 IPSec 策略 的 具体 设置 相关 。 


IPSec VPN 安 全 协议 与 封装 模式 


。 IPSec 封装 模式 
o 传输 模式 (Transport Mode) 
”保护 IP 层 以 上 的 信息 
o 隧道 模式 (Tunnel Modey 
= 保护 整个 数据 包 


New IPH MIPSE@ OrolPH [BLelie] 
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AH 协 议 : 


AH 报 头 插 在 IP 报 头 之 后 ，TCP、UDP 或 者 ICMP 等 上 层 协议 报头 之 前 。 一 般 AH 为 整个 
数据 包 提供 完整 性 检查 ， 但 如 果 IP 报 头 中 包含 “生存 期 (Time To Live) ”或 “服务 类 型 
(Type of Service) ”等 值 可 变 字段 ， 则 在 进行 完整 性 检查 时 应 将 这 些 值 可 变 字段 去 除 。 


AH 也 为 IJP 头 中 的 一 部 分 提供 验证 “在 某 些 情况 下 ， 这 可 能 是 必须 的 。 例 如 ， 如 果 IPV4 
选项 或 IJPv6 扩 展 头 的 完整 性 在 发 送 方 和 接收 方 之 间 的 路 程 中 必须 被 保护 ，AH 可 以 提供 这 
项 服务 (除了 IP 头 中 不 可 预知 兴 易 变 的 部 分 ) 。 


在 使 用 AH 协议 时 ，AH 协 议 首 先 在 原 数据 前 生成 一 个 AH 报 文 头 ， 报 文 头 中 包括 一 个 递 
增 的 序列 号 (Sequence number) 与 验证 字段 ( 空 ) 、 安 全 参数 索引 (SPI) 等 。AH 协 
议 将 对 新 的 数据 包 进行 离散 运算 ， 生 成 一 个 验证 字段 (authentication data) ， 填 入 AH 
头 的 验证 字段 。AH 协 议 目 前 提供 了 两 种 散 列 算法 可 选择 ， 分 别 是 : MD5 和 SHA1， 这 两 
种 算法 的 密 钥 长 度 分 别 是 128bit 和 160bit。 

AH 协议 使 用 32 比 特 序 列 号 结合 防 重 放 窗 口 (一 般 为 64 位 ) 和 报 文 验证 来 防御 重 放 攻 击 。 
当 收 到 了 < 个 经 过 认证 的 数据 以 后 ， 防 重 放 窗 口 会 滑动 一 次 ， 如 果 该 数据 被 重 放 ， 由 于 其 
顺序 号 码 和 原来 的 相同 ， 因 此 这 个 数据 会 落 到 窗口 之 外 ， 数 据 就 会 被 丢弃 。 


SSL 协 议 介绍 


。 SSL 协 议 过 程 通过 3 个 元 素来 完成 
o 握手 协议 


SSL 协 议 结构 
o 记录 协议 


HTTP 让 
o 警告 协议 


全 
Secure | I ) ation 
Sockets 


Layer Record Layer 
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握手 协议 : 


TW 配置 用 于 客户 机 和 服务 器 之 间 会 话 的 加 密 参 数 。 当 一 个 SSL 客 户 机 和 服 
Pl 次 开始 通信 和 时， 它们 在 一 个 协议 版 本 上 达成 一 致 ， 选 择 加 密 算法 和 认证 方式 ， 并 
使 用 公 钥 来 生成 共享 密 负 。 


记录 协议 : 
协议 用 于 交换 应 用 数据 。 录 用 程序 消息 被 分 割 成 可 管理 的 数据 块 
并 产生 一 个 MAC (消息 认证 代码 ) ， 
， 校 验 MAC， 解 压 并 重新 组 合 
警告 协议 : 


， 还 可 以 压缩 ， 
然后 结果 被 加 密 并 传输 。 接 收 方 接收 数据 并 对 它 解 密 
， 把 结果 提供 给 应 用 程序 协议 。 


这 个 协议 用 于 表示 在 什么 时 候 发 生 了 错误 或 两 个 主机 之 间 的 会 话 在 什么 时 候 终 止 。 


SSL 原 理 一 握手 协议 


EF 在 用 SSL 进 行 通 信之 前 ， 首 
三 先 要 使 用 SSL 的 HandShake 


Client Server 协议 在 通信 两 端 握手 ， 协 商 
ClientHello 一 数据 传输 中 要 用 到 的 权 关 安 


全 参数 (如 加 密 算法 总 共享 
′ ， ， 密 钥 、 产 生 密 铀 所 要 的 材料 
才 ServerHelloDone 等 ) ， 并 对 对 端的 身份 进行 
Certificate* 一 验证 。 
Client Key Exchange 一 


Certificate Verify 一 人 
ChangeCipherSpec ”一 


Finished ”一 
4 Change Cipher Spec 


4 Finished 
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建立 点 到 多 点 SA 策略 模板 + 子 策略 方式 


200.0.1.1/24, 
E1/0/1 
-10.0.0.1/24 


E1/0/0 > 
200.0.2.1/24 
o FWA、FWB 公 网 IP 是 固定 公 网 地 址 , FWC 公 网 地 址 为 动态 获取 
o FWA 与 [WC 之 间 需 要 使 用 野蛮 模式 ， 且 只 能 由 FWC 主 动 发 起 连接 ; 
FWA 与 FWB 之 间 可 以 使 用 主 模式 /野蛮 模式 ， 两 边 都 可 以 生动 发 起 连接 ; 
使 用 pre-shared key 验 证 方法 的 提议 配置 验证 字 ; 
使 用 策略 模版 + 子 策略 方式 。 


2 
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IPSec 点 到 多 点 应 用 场景 分 析 


。FWA 连 接 公 网 的 接口 应 用 两 个 IPyec VPN 的 IPSec 策 略 。 | 


。 每 个 接口 上 只 能 应 用 一 个 IPSec 策 略 ， 采 用 子 策略 方 | 
式 建立 IPSec 隧 道 。 &X 








。 防火 墙 上 必须 有 到 达 对 方 私 网 网 段 的 正确 路 由 。 


。 低 端 防火 墙 内 网 入 接口 需 取消 接口 快 转 功能 ， 使 得 
需 加 密 流 量 送 至 CPU。 


。 主动 触发 IPSEC VPN 防 火 墙 ACL 中 必须 定义 
Source 字 段 。 


。 配置 为 策略 模版 + 子 策略 方式 
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防火 墙 上 必须 有 到 达 对 方 私 网 网 段 的 正确 路 由 (尽管 该 路 由 可 能 是 不 可 达 的 ,可 以 是 明 
细 路 由 ,可 以 是 默认 路 由 等 )， 此 条 路 由 的 出 接 同一 定 是 使 能 IPSEC policy 的 接口 ， 该 路 由 的 
作用 是 将 需要 IPSEC 加 密 的 报 文 送 到 使 能 IPSEC policy 的 接口 进行 处 理 。 


USG50/2100/2200/3000 连 接 内 网 的 接口 需要 取消 接口 快 转 功 能 ,否则 IPSEC SA 不 会 
触发 建立 ,命令 为 undo ip fast-forwarding qff, 出 接口 无 需 配置 该 命令 。 


注意 总 部 和 分 支 节 点 的 ACE 配置 ， 主 动 触 发 IPSEC VPN 防 火 墙 (在 策略 模版 方式 下 只 能 
是 分 支 机 构 防 火 墙 )ACL 中 必须 定义 Source 字 上 段 , 一 般 推荐 同时 定义 Source 和 Destination 
字段 ， 如 果 ACL 中 只 定义 了 destination 字 上 段 ,该 防火 墙 不 能 主动 触发 IPSEC SA 建立 ,但 可 以 
被 动 响应 对 端的 PSECASA 请 求 ,建立 IPSEC SA。 策 略 模版 + 子 策略 是 指 在 安全 策略 的 某 个 
子 策略 中 使 用 策略 模版 方式 ,其 他 子 策 略 不 一 定 使 用 策略 模版 . 即 : 

ipsec policy mapl 10 isakmp 

ipsec policy mapl 20 isakmp template mapltmp 

只 要 是 使 用 了 策略 模版 ,都 不 能 作为 IPSEC SA 的 发 起 方 。 在 总 部 防火 墙 上 配置 多 个 IKE 
peer， 子 个 静态 节点 对 应 一 个 peer， 所 有 动态 节点 对 应 一 个 peen 该 IKE peer 不 需要 指定 
remotesaddress, 因 为 其 他 分 支 机 构 的 公 网 IP 不 固定 。 同 一 个 IPSec 安全 策略 组 中 模板 方式 
安全 策略 的 序号 必须 大 于 直接 创建 的 安全 策略 的 序号 。 即 同一 个 IPSec 安全 策略 组 中 模板 
方式 安全 策略 的 优先 级 必须 最 低 ， 否 则 可 能 导致 协商 失败 。 


IPSec 点 到 多 点 应 用 配置 思 











配置 域 间 包 过 滤 

















配置 公 网 路 由 
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在 配置 IPSec 安全 策略 与 策略 模板 时 , .USGSA 上 配置 一 条 模板 方式 的 安全 策略 ， 一 条 
IKE 安 全 策略 直接 创建 的 IPSec 安全 策略 & USG_B、USG_C 配 置 IKE 安 全 策略 直接 创建 的 
IPSec 安全 策略 。 


FWA 关 键 配置 -1 


。 配置 IKE Peer 
# 创建 名 为 a 的 IKE peer, 为 每 一 个 静态 分 支 创建 一 个 Peer 
[FWA!] ike peer a 
[FWA-ike-peer-a] remote-address 200.0.1.1 
[FWA] ike peer a’ 


[FWA-ike-peer-a ] exchange-mode aggressive 
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FWB 配 置 注意 事项 : 
。 FWB 的 ACL 与 [WA 的 ACL3000 成 相互 映射 。 
。 IKE peer 中 的 remote-address 参 数 应 设置 为 [WA 的 公 网 地 址 。 
。 IKE peer 应 与 [WA 的 IKE peer gq 对 应 $ 


FWA 关 键 配 置 -2 


配置 安全 子 策略 和 策略 模版 

# 创建 安全 策略 map1 的 子 策略 10， 引 用 ike-peer a。 
[FWA] ipsec policy map1 10 isakmp 
[FWA-ipsec-policy-isakmp-map1-10] ike-peer a 

# 创建 安全 策略 模版 map1tmp，# 引用 ike-peer a'。 
[FWA] ipsec policy-template map1tmp 10 
[FWA-ipsec-policy-templet-map1tmp-10] ike-peer a' 

# 创建 安全 策略 map1 的 子 策略 20, 引用 策略 模版 map1tmp 
[FWA] ipsec policy map1 20 isakmp template map1tmp 

配置 防火 墙 C 时 ， 配 置 IKE 的 协商 模式 为 野蛮 模式 
[FWC] ike peer c 


[FWC-ike-peer-c] exchange-mode aggressive 
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。 配置 安全 子 策略 和 策略 模版 


# 创建 安全 策略 map1 的 子 策略 10。 

[FWA] ipsec policy mapl 10 isakmp 

[FWA-ipsec-policy-isakmp-miap 信 10] ike-peer a 

[FWA-ipsec-policy-isakmp-map1-10] proposal tran1 

[FWA-ipsec-policy-isakmp*map1-10] security acl 3000 

[FWA-ipsec-policy-isakmp-map1-10] quit 

# 创建 安全 策略 模版 mapltmp。 

[FWA] ipsecpelicy-template mapltmp 10 

[FWA-ipsec-policy-templet-mapltmp-10] ike-peer a' 

[FWA-ipsec-policy-templet-mapltmp-10] proposal tran1 

[FWAasipsec-policy-templet-map1ltmp-10] security acl 3001 

# 创建 安全 策略 mapl 的 子 策略 20, 引用 策略 模版 mapltmp 

[FWA] ipsec policy mapl 20 isakmp template mapltmp 
引用 安全 策略 

[FWA] interface Ethernet 1/0/0 


Wb huawel 
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1PSec NAT 穿 越 场 景 


。 如 果 发 起 者 位 于 一 


个 私 网 内 部 ， 而 它 希 望 在 自己 与 远 端 响应 
者 之 间 直 接 建立 一 De 
VPN 网 络 造成 障碍 。 这 就 需要 IPSec 与 NAT 进 


村 结合 s 


EO0/0/1 E0/0/0 
一 se 200.0.0.1/28 
L L 
ai 


Er 
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私 网 用 户 在 通过 internet 访 问 远 端 网 络 时 访 私 网 地 址 将 通 


过 NAT 设 备 进行 转换 。 在 
IPSec 点 到 点 的 应 用 场景 中 ， 会 对 IP 包 头 或 端 因 信息 进行 验证 ， 由 于 NAT 网 关 将 原 IP 地 址 
或 端口 信息 进行 了 转换 ， 因 此 影响 IPSec 的 验证 及 信息 传递 


IPSec NAT 穿 越 分 析 


。 AH 无 法 穿越 NAT 
o AH 对 整个 报 文 进行 认证 
。 ESP 穿 越 NAT 的 问题 
o ESP 会 加 密 报 文 的 端口 信息 
。 主 模式 和 野 变 模式 如 何 穿 越 NAT 
o NAT 导 致 IP 地 址 变化 影响 IP+ 预 共享 密 钥 的 验证 


PP 
Name 验 证 方式 +pre-sharekey# 子 策略 /策略 模板 
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AH 无 法 穿越 NAT， 由 于 AH 对 整个 IP 都 进行 验证 ，NAT 网 关 会 改变 IP 头 的 地 址 ， 造 成 
AH 验 证 失败 。 而 ESP 只 对 IP 负 载 进 行 验 望 ， 因 而 可 以 解决 这 个 问题 。 


ESP 会 将 第 四 层 的 端口 信息 加 密 而 造成 PAT 问 题 。 采 用 IPSec 透 明 NAT 功 能 可 以 解决 这 
个 问题 ， 将 ESP 分 组 封装 在 UDP 头 中 并 且 附 带 必需 的 端口 信息 以 使 PAT 正 常 工作 。 


IPSec NAT 穿 越 不 支持 IKE 主 模式 。， 野 蛮 模 式 的 IP 地 址 + 预 共 享 密 钥 方式 验证 ， 因 为 预 
共享 密 钥 方式 验证 需要 在 IP 报 文 申 提 取 源 IP 地 址 从 而 查找 这 个 地 址 对 应 的 预 共 享 密 钥 (前 面 
已 经 介绍 过 )， 而 由 于 NAT 的 存在 造成 了 地 址 变化 使 设备 无 法 查找 预 共享 密 钥 。 如 果 NAT 
穿越 需要 使 用 主 模 式 ， 可 以 采用 证 书 验证 的 方法 解决 ， 如 果 NAT 穿 越 需要 使 用 野蛮 模式 ， 
可 以 采用 Name 方 式 验证 。 


IPSec_ NAT 穿 越 原 理 


NAT 穿 越 能 力 协商 

o 在 第 一 阶段 KE 协商 中 通过 VenderlD 进 行 能 力 协商 。 

NAT 网 关 检 测 

a。 在 第 一 阶段 KE 协商 中 使 用 NAT-D 负 载 用 于 发 现 是 否 存在 NAT。 
NAT 穿 越 功 能 启用 协商 

o KE 第 二 阶段 的 SA 载荷 中 协商 是 否 使 用 NAT 穿 越 。 


使 用 UDP 封 装 IPSec ESP 报 文 穿越 NAT 


司 


Sequence Number 
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NAT 穿 越 能 力 由 KE 消息 携带 的 厂商 ID 来 决定 


为 了 焦 测 IP 地 址 或 者 端口 信息 是 否 在 传输 过 程 中 发 生变 化 ， 双 方 交 换 IP 地 址 /端口 号 的 
hash 值 ，Hash 值 不 同 ,说 明 使 用 了 NAT 或 者 PAT。Hash 值 以 NAT-D 负 载 进行 发 送 ， 一 个 
NAT-D 负 载 包含 一 个 Hash 值 ， 一 般 情 况 下， 只 有 本 端 和 对 端的 两 个 Hash 值 。NAT-D 负 载 
包含 在 主 模 式 的 消息 3、4 中 或 者 是 包含 在 野蛮 模式 的 消息 2、3 中 。 


当 设备 检测 到 有 NAT 存 在 胖 \ 发 起 方 将 消息 5、6 的 源 端口 和 目的 端口 都 设置 为 4500， 
所 有 和 发 起 方 交换 的 IE 消息 都 使 用 4500 端 口 通信 ， 如 果 发 起 方 在 NAT 内 部 ， 则 NAT 将 发 
起 方 的 源 端 口 改 为 其 他 端 厅 和 其 他 设备 通信 。 

IE 第 一 阶段 完成 后 ~ 通信 双方 都 知道 了 NAT 的 存在 ， 然 后 在 IKE 第 二 阶段 的 SA 载荷 中 
协商 是 否 使 用 NAT 穿 越 \ 通 过 增加 两 个 新 的 封装 模式 来 进行 : UDP- 隧 道 模式 、UDP- 传 输 
模式 。 

在 UDP 报头 后 面 直接 封装 了 一 个 ESP 报 文 头 。 在 UDP 报 文 头 中 源 端 口号 以 及 目的 端口 
号 采用 和 IKE 协 议 汪 致 的 端口 号 。 这 样 可 以 减少 NAT 网 关上 NAT 会 话 的 数量 ， 并 且 在 配置 
和 使 用 都 非常 简单 。 但 是 共用 端口 号 的 同时 带 的 另 一 个 问题 是 上 层 实现 如 何 区 分 一 个 报 文 
是 IKE 报 文 还 是 UDP 封 装 的 ESP 报 文 昵 ?为 了 区 分 这 两 种 报 文 ，RFC3948 规 定 采用 UDP 寺 
装 方式 的 ESP 报 文 的 SPI 一 定 不 能 为 0， 同 时 规定 使 用 启用 NAT 穿 越 的 IKE 协 商 报 文 在 UDP 
报 文 头 后 插入 4 个 值 为 0 的 字 节 ， 作 为 非 ESP 报 文 的 标识 。 





IPSec_ NAT 穿 越 典 型 场景 


Internet 


。 场景 分 析 
0 FWA 与 [WC 之 间 需 要 建立 IPSec 隧 道 ; 
o FWA 通 过 分 支 机 构 宽带 接 入 公 网 ， 即 FWA 外 网 口 获 得 的 是 刁 私 网 地 址 ; 
o ”NAT 设 备 将 分 支 机 构 的 用 户 私 有 地 址 转换 为 公 网 地 址 以 便 在 公 网 路 由 。 
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FWA 关 键 配 置 : 

# 配置 IKE 本 地 名 称 。 

[USG5000A] ike local-name USG5000A 

# 配置 IKE peer。 

[UsG5000A] ike peer b 
[USG5000A-ike-peer-bjundo version 2 
[USG5000A-ike-peer-bjexchange-mode aggressive 
[USG5000A-ike=peersb] local-id-type name 
[USG5000A#4ike-<peer-b] remote-name USG5000C 
[USG5000A-ike-peer-b] ike-proposal 10 
[USG5000A-ike-peer-b] remote-address 131.108.5.2 
[USG5000A-ike-peer-b] pre-shared-key abcde 
[USG5000A-ike-peer-b] nat traversal 
[USG5000A-ike-peer-b] quit 

# 配置 采用 IKE 方 式 协商 IiPSec 安 全 策略 map1l。 
[USG5000A] ipsec policy mapl 10 isakmp 





关键 配置 
Ad 
eerarat ae | 


IPsec NAT 穿 越 功能 配置 比较 简单 ， 和 普通 IPSec VPN 的 配置 最 从 
的 区 别 就 在 于 多 了 这 条 命令 ; 

认证 方式 需要 使 用 pre-sharekey+Name 认 证 方式 ; 

FWB 的 配置 、 型 号 与 IPSec 隧道 的 建立 无 关 。 只 需 保 证 FWC 经 过 
FWB 做 地 址 转换 后 还 可 和 FWA 互 通 。 

IPSec 隧道 两 端 均 需 配置 该 命令 。 
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FWC 关 键 配 置 : 

# 配置 IKE 本 地 名 称 。 

[USG5000C] ike local-name USG5000C 

# 配置 IKE peer。 

[USG5000C] ike peer a 

[USG5000C-ike-peer-alsundo version 2 
[USG5000C-ike-peer-ajsexchange-mode aggressive 
[USG5000C-ikespeersa] local-id-type name 
[USG5000C#iKke=peer-a] remote-name USG5000A 
[USG5000C-ike=-peer-al] ike-proposal 10 
[USG5000C-ike-peer-a] remote-address 131.108.5.100 131.108.5.110 
[USG5000C-ike-peer-al pre-shared-key abcde 
[USG5000C-ike-peer-al] nat traversal 
[USG5000C-ike-peer-al] quit 

# 配置 采用 IKE 策 略 模板 方式 协商 IPSec 安 全 策略 模板 map_temp。 
[USG5000C] ipsec policy-template map_temp 1 


IPSec_ NAT 穿 越 WEB 配 置 


CL >》 IPSec 》 IKE 协 商 


对 端 网 关 VPN 实 例 
对 端 网 关 IP 
对 端 地 址 池 范 围 


public 


131 . 108 .5 


VPN 实 例 

园 高 级 
加 密 算 法 DES-CBC 
DH 组 DH-Group1 
Hs = 启用 NAT 穿 越 
完整 性 算法 HMAC-SHA1 

人 | 

SA 超时 时 间 86400 *<60- > 秽 功能 
DPD 工 作 模式 NONE -一 
NAT 罕 越 Yi 启动 
对 端 认证 IP 地 址 
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使 用 Web 配 置 方 式 配 置 IPSec NAT 窦 越 情况 时 ， 需 要 在 配置 IKE 协 商 阶段 一 时 启用 
NAT 穿 越 功能 。 


选择 “VPN > IPSec > IKE 协 商 ”在 YIKE 协 商 列表 ”中 ， 单 击 “ 阶 段 1”。 在 高 级 
配置 中 ， 勾 选 NAT 穿 越 功能 。 


全 目录 


1. VPN 基 础 知识 回顾 
2. IPSecVPN 典 型 应 用 介绍 
1.， 点 到 多 点 IPSec VPN 技 术 

















NAT 穿 越 技术 
. 链 路 见 余 IPSec VPN 应 用 场景 
设备 匈 余 IPsec VPN 场 景 
方式 IPsec VPN 场 景 





下 


3. L2TP Over IPSec 应 用 分 析 


4. SSL 应 用 分 析 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved Page 31 





IPSec 链 路 元 余 设计 


隧道 化 链 
路 备份 
4 


< 
IPSec 链 路 宛 余 设计 的 三 种 应 用 贸 早 
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。 主 备 链 路 备份 


一 般 情况 下 ， 主 用 IPSec 隧道 采用 以 太 网 链 路 固定 IP 接 入 ， 备 用 IPSec 隧道 采用 以 太 网 
链 路 或 拨号 链 路 (PPPoE/ADSL/3G) 接 入 均 可 。 主 用 链 路 故障 时 业务 倒 换 到 备用 链 路 。 


。 隧道 化 链 路 备份 


将 IPSec 策略 应 用 到 Tunnel 接 口 寿 ，IP9ec 策 略 跟 具 体 的 物理 接口 没有 绑 定 关 系 ， 从 而 
实现 出 接口 链 路 的 备份 。 当 喜 条 链 路 出 现 问题 时 ， 可 直接 路 由 到 其 他 链 路 传输 。 


。 全 网 状 网 络 : 


每 个 设备 都 与 其 它 设备 之 间 建 立 IPSec 隧 道 ， 这 是 最 为 安全 的 网 络 结构 ， 但 需要 较 多 
的 资金 投入 。 


IPSec 链 路 元 余 一 主 备 链 路 备份 


。 组 网 需求 : 
o 网 关 A 通 过 主 备 两 条 链 路 连接 网 关 B。 在 网 关 A 的 两 个 物理 接口 分 别 应 用 IPyec 策 
略 ， 创 建 主 备 两 条 IPSec 隧道 。 当 主 链 路 故障 时 ， 将 在 备份 链 路 上 建立 新 的 
IPSec 隧 道 ， 并 拆除 旧 的 IPSec 隧 道 ， 完 成 流量 和 隧道 的 切换 。 


和 


总 部 


IPSec Tunnel 


Server 


Wb huawel 





主 备 链 路 备份 场景 分 析 


主 用 IPSec 隧 道 采用 以 太 网 链 路 固定 IP 接 入 


备用 IPSec 隧道 采用 以 太 网 链 路 或 拨号 链 路 接 
入 

可 : 
网 关 A 配 置 到 达 网 关 B 的 主 备 静态 路 由 ， 下 
一 中 地 址 为 主 备 链 中 连接 lemel 的 和 口才、 
址 。 


a SE 


在 网 关 A 上 配置 IP-ink 用 以 检测 远 端 网 络 连 站 


通 性 ， 当 检测 到 主 链 路 故障 时 ， 切 换 至 合用 
链 路 上 。 一 
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人 
secaaeRR 和 EPEeot Ab 3G 等 。 
~ 
) 


cs 
< 


主 备 链 路 备份 配置 思路 





主 备 链 路 备份 天 键 配 置 


。 配置 IP-link， 分 别 检测 到 RT3 的 两 个 接口 的 链 路 状态 
[USG] ip-link check enable 
[USG] ip-link 1 destination 10.10.1.2 mode icmp 
[USG] ip-link 2 destination 10.10.1.3 mode icmp 


。 配置 到 达 网 关 B 的 主 备 静 态 路 由 
[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2 track ip-link 1 
[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.3 preference 70 track ip-link 2 
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配置 主 链 路 的 优先 级 高 于 备用 链 路 。 


IPSec 链 路 元 余 -- 障 道 化 链 路 备份 


。 组 网 需求 : 
o 网 关 A 通 过 主 备 两 条 链 路 连接 网 关 B。 在 网 关 A 的 Tunnel 接 口 和 网 关 B 的 物理 接口 
之 间 创 建 iPSec 隧 道 ，VPN 流 量 通 过 Tunnel 接 口 进 行 IPSec 处 理 ， 然 后 通过 路 由 
表 选 择 物理 接口 发 送 。 


Server Server 
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隧道 化 链 路 备份 场景 分 析 


。 在 此 种 场景 下 ， 当 主 物理 链 路 失效 时 ， 其 路 由 变 为 不 可 达 ， 流 量 自然 切换 
到 备用 链 路 。 这 种 情况 下 ，IPSec 隧 道 不 需要 进行 重 协商 ， 故 可 快速 完成 流 
量 切换 。 

将 IPSec 策略 应 用 到 Tunnel 接 口上 ，IPSec 策 略 跟 具体 的 物理 接口 没有 线 定 
关系 ， 从 而 实现 出 接口 链 路 的 备份 。 当 一 条 链 路 出 现 问题 时 ， 可 直接 路 由 
到 其 他 链 路 传输 。 

在 防火 墙 A 上 需 创 建 tunnel 接 口 并 将 接口 加 入 相应 安全 区 域 ,pg 从 防火 墙 A 出 
口 的 IPSec 流量 需 经 过 Tunnel 接 口 选择 合适 的 路 由 到 达 防 火 墙 B。 在 防火 墙 
B 上 也 需要 配置 达到 tunnel 接 口 的 静态 路 由 。 
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隧道 化 链 路 备份 场景 分 析 


。 主 物理 链 路 失效 时 ， 其 路 由 变 为 不 可 达 ， 流 量 
1 
自然 切换 到 备用 链 路 。 








。 IPSec 隧 道 不 需要 进行 重 协商 ， 故 可 快速 完成 
流量 切换 。 





。 通过 Tunnel 接 口 实现 隧道 化 链 路 备份 。 


。 需 将 IPsec 策略 应 用 到 Tunnel 接 口上 。 
。 创建 tunnel 接 口 并 将 接口 加 入 相应 安全 区 域 。 | 
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在 此 种 场景 下 ， oh 其 路 由 变 为 不 可 达 ， 流 量 自然 切换 到 备用 链 路 
。 这 种 情况 下 ，IP>ec 隧 道 不 需要 进行 重 协商 伍 故 可 快速 完成 流量 切换 。 


将 IPSec 策略 应 用 到 Tunnel 接 口上 NMIPsec 策 略 跟 具体 的 物理 接口 没有 绑 定 关系 ， 从 而 
实现 出 接口 链 路 的 备份 。 当 一 条 链 路 出 现 间 题 时 ， 可 直接 路 由 到 其 他 链 路 传输 。 

在 防火 墙 A 上 需 创建 tunnel 接 总 并 将 接口 加 入 相应 安全 区 域 ， 从 防火 墙 和 A 出口 的 IPSec 
流量 需 经 过 Tunnel 接 口 选 择 合适 的 路 由 到 达 防 火 墙 B。 在 防火 墙 BH 上 也 需要 配置 达到 
tunnel 接 口 的 静态 路 由 。 





隧道 化 链 路 备份 关键 配 置 


。 在 网 关 A 上 配置 Tunnel 接 口 
[USG_A] interface tunnel 0 
[USG_A-tunnel0] tunnel-protocol ipsec 
[USG_A-tunnel0] ip address 1.1.1.2 24 
[USG_A] firewall zone trust 
[USG_A-zone-trust] add interface tunnel 0 

。 在 网 天 A 上 将 IPSec 策略 应 用 到 tunnel 接 口上 
[USG_A] interface tunnel 0 


[USG_A-tunnel0] ipsec policy map1 
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在 防火 墙 A 和 B 上 的 其 余 配置 为 |Pyec 标 准 配置 ” 此 处 省 略 。 


WW huawel 
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IPSec 设备 元 余 设 计 


。 IPSec VPN 网 关 采 用 主 备 备份 机 制 ， 当 一 台 设 备 出 现 故障 时 
， 业 务 可 以 平滑 的 切换 到 备用 设备 上 。 
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IPSec 双 机 热 备 场景 分 析 


网 关 A1l 和 A2 为 双 机 热 备 设备 ，A1 为 主 设备 A2 为 备用 设 
备 。 


网 关 Al 和 A2 对 外 配置 虚拟 接口 1， 并 在 虚拟 接口 1 和 分 ( 
网 关 B 的 物理 接口 之 间 建 立 IPSec 隧道 。 


A 


当主 用 网 关 A1 物 理 接口 、 链 路 或 主机 故障 时 ， 流 量 被 引 
导 到 备用 网 关 A2 进 行 IPSec 和 转发 处 理 。 [a 况 下 ， 
原 有 的 IPSec 隧道 并 不 会 被 拆除 ， 切 换 志 度 更 上 ji 识 。 





IPSec 双 机 热 备 组 网 举例 


VvRRP 备 份 组 L GE0/0/0 车 车 GE0/0/1 


" VRRP 备 份 组 2 
10.100.10.2/24 ja nn 202.38.10.1/24 
1 2 一 


GEO/0/1 


Server 


10.100.10.1/24 
GEO/0/0 
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IPSec 双 机 热 备 配置 思路 


配置 ACL 定 义 保 护 
数据 ; 





防火 墙 基本 配置 配置 PSec 安 全 所 
( 略 ) 议 











配置 IPSec 





(a ?Sec 安全 策 
Rs 略 或 策略 模板 
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主 设备 和 隧道 对 端 设备 上 都 需 开启 KE, DPBD 芒 能 。 开 启 后 ， 主 备 设备 进行 切换 时， 隧 
道 对 端 设 备 (USG_C) 能 够 快速 感知 ， 并 与 备用 设备 进行 隧道 协商 。 

如 果 主 备 防 火 墙 本 端 使 用 非 模板 方式 建立 隧道 ， 则 务必 要 配置 local qddress 为 VRRP 
备份 组 2 的 IP 地 址 ， 设 置 本 端 发 起 协商 的 地 址 为 VRRP 组 的 虚拟 IP 地 址 。 


在 配置 防火 墙 C 时 ， 对 端 地 址 设置 为 VRRP 组 2 的 虚拟 IP 地 址 。 


IPSec 双 机 热 备 配置 (1) 


防火 墙 基 础 配置 。 (接口 IP 地 址 及 域 间 包 过 滤 ， 略 ) 
配置 会 话 快速 备份 : 

[USG_A] hrp mirror session enable 
配置 HRP 备 份 通道 : 

[USG_A] hrp interface GigabitEthernet 0/0/2 

配置 抢占 延 时 : 

[USG_Al] hrp preempt delay 300 

启动 配置 命令 的 自动 备份 功能 : 

HRP_M[USG_AI] hrp auto-sync config 
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配置 VRRP 备 份 组 参考 命令 为 : 
[USG _Al] interface GigabitEthernet 0/0/1 
[USG A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.2 24 master 
[USG _Al] interface GigabitEthernet 0/0/3 
[USG A-GigabitEthernetQ/0/3] Vvrrp vrid 2 virtual-ip 202.38.10.1 24 master 
此 处 配置 的 抢占 延 时 是 WS@ 满 配置 时 建议 配置 的 抢占 时 间 。 根 据 实际 配置 的 隧道 数 可 
以 适当 减 小 抢占 时 间 的 数值 。 
在 防火 墙 上 开启 DBPD 功 能 ， 从 而 在 总 部 网 关 发 生 主 备 切 换 时 ， 能 够 快速 感知 ， 并 与 备 
用 设备 进行 隧道 协商 。 


IPSec 双 机 热 备 配置 (2) 


。 IPSec 相关 配置 
在 配置 防火 墙 C 的 IPSec 时 ， 对 端 地 址 设置 为 VRRP 组 的 虚拟 IP 地 址 : 
[USG_C] ike peer peer1 


《 
bb | 
* 
> 


[USG_C-ike-peer-peer1] remote-address 202.38.10.1 
在 配置 主 备 防火 墙 时 ， 如 果 采 用 非 策略 模板 形式 ， 需 配置 本 端 |P 地 址 为 VRRR 虚 拟 备 
份 组 IP 地 址 : 

[USG_A] ipsec policy policy1 1 isakmp 





[USG_A-ipsec-policy-isakmp-policy1-1] local-addra$80802.38.10:1 
在 主 设备 和 隧道 对 端 设备 上 均 需 开启 IKE DPD 功 能 : 
[USG_Cl]ike dpd on-demand 10 
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防火 墙 A 上 的 IPsec 配置 按照 标准 步骤 进行 配置 ， 防 火 墙 A IPSec 配置 参考 命令 为 : 
HRP_M[USG_A] acl 3003 


HRP_MIUSG A-acl-adv-3003] rule permit ip source 10.100.10.0 0.0.0.255 
destination 10.6.1.0 0.0.0.255 


HRP_MIUSG A-acl-adv-3003Jguit 

HRP_MIUSG Al] ipsec proposal prol 

HRP_MIUSG A-ipsec-proposal-prol] quit 
HRP_MIUSG Alike proposal 1 
HRP_MIUSGAA-ike-proposal-1] quit 

HRP_MIUSGNA] ike peer peerl 
HRP_MIUSG:A-ike-peer-peerl] exchange-mode aggressive 
HRPNMIUSG A-ike-peer-peerl] ike-proposal 1 
HRPNMILUSG A-ike-peer-peerl1] pre-shared-key security 
HRP, MIUSG A-ike-peer-peer1] quit 

HRP_MIUSG A] ike dpd on-demand 10 

HRP_MIUSG Alipsec policy-template templ1 1 


IPSec 双 机 热 备 配置 《WEB) 


- 系统 高 可 靠 性 、 双 机 热 备 


可 启动 会 话 快速 备份 配置 会 话 快速 备 
可 自动 备份 连接 状态 份 


手动 备份 连接 状态 
手动 备份 配置 





检查 HRP 配 置 一 致 性 
检查 ACL 配 置 一 致 性 
配置 HRP 状 态 监控 组 











抢占 模式 
抢占 延 时 
Hello 报 文 周期 
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IPSec 使 用 的 密 钥 技术 


基于 电子 证 书 的 公 钥 认证 预 置 共享 密 钥 认 证 
用 于 通信 对 等 体 的 认证 。 用 于 对 一 次 通信 的 认证 





基于 电子 证 书 的 公 钥 认证 和 预 置 共享 密 钥 (enim VPN 隧 道 认证 方法 ， 动 态 密 钥 
更 新 和 D-H 算法 是 建立 隧道 时 用 的 密 铀 NS 方法 。 


\ 
& 


SS 
< 
SS 
~ 
RN 
~ 


IPSec 中 的 证 书 机 制 


证 书 机 制 可 以 为 IPSec 网 络 提供 集中 的 密 钥 管理 机 制 。 在 采用 证 书 机 制 的 IPSec 网 络 
中 ,每 台 设备 都 拥有 CA 颁发 的 证 书 ， 当 设备 之 间 进 行 通讯 时 ， 只 要 通过 交换 证 书 就 
可 以 确认 对 方 的 身份 ， 并 获得 对 方 的 公 钥 。 这 样 当 新 设备 加 入 时 ， 只 需要 为 新 增加 
的 设备 申请 一 个 证 书 ， 就 可 以 与 其 他 设备 进行 通讯 ， c 





3 
持 有 者 : XXX 
公开 密 钥 : 9f 0a 34 .… 
有 效 期 :5/5/2008815/2009 
序列 号 : 123465 
颁发 者 : 根 GA 
等 名 @A 数字 签名 
证 书 路 径 :信任 链 


o ”CA 证 书 
o 本 地 (实体) 证 书 
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证 书 也 称 为 数字 证 书 ， 它 建立 了 用 户 身份 信息 与 用 户 公 钥 的 关联 。 证 书 由 第 三 方 机 构 
颁发 ， 为 通信 双方 提供 身份 验证 功能 。 


证 书 是 一 段 由 CA (Certificate Authoriiy) 签名 的 包含 用 户 身 份 信息 、 用 户 公 钥 信 息 
以 及 身份 验证 机 构 数字 签名 的 数据 。ACA 对 证 书 的 签名 保证 了 证 书 的 合法 性 和 权威 性 。 目 
前 证 书 的 格式 遵循 TU-T X.509 V3 标准 。 


在 UyC9300 上 ,， 证 书 可 以 用 入 通信 双方 建立 IPyec 隧 道 时 的 身份 认证 。 在 不 采用 证 书 
机 制 的 IPSec 网 络 中 ， 进 行 网 络 护 容 时 ， 每 新 增 一 人 台 设 备 ， 都 需要 修改 其 余 设 备 的 配置 。 
操作 繁琐 ， 且 易 出 错 。 


。 ”CA 证 书 


颁发 机 构 本 身 的 证 书 ， 用 于 验证 CA 颁发 的 本 地 证 书 和 证 书 吊 销 列表 CRL ( 
Certificate Revecatien List) 的 有 效 性 。 


。 ”本 地 (实体 证 书 
由 CA 颁发 并 实 体 之 间 通 信 时 使 用 。 证 书 绑 定 了 名 字 和 本 地 公 钥 ， 如 同 网 络 身 份 证 。 


CA 数字 签名 原理 
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数字 签名 主要 的 功能 是 : 保证 信息 传输 的 完整 性 、 发 送 者 的 身份 认证 、 防 止 交易 中 的 
抵赖 发 生 。 基 于 公 钥 密码 体制 和 私 钥 密码 体制 都 可 以 获得 数字 签名 ， 目 前 主要 是 基于 公 钼 
密码 体制 的 数字 签名 ， 包 括 普 通 数字 签名 和 特殊 数字 签名 。 普 通 数字 签名 算法 有 RSA、 
ElGamal、Fiat-Shamir、Guillou-Quis9quagrter、Schnorr、Ong-Schnorr-Shamir 数 字 签 
名 算法 、Des/DSA， 椭 圆 曲 线 数字 签名 算法 和 有 限 自动 机 数字 签名 算法 等 。 特 殊 数字 签名 

讶 签名、 代理 签名 、 群 签名 、 不 可 否认 签名 、 公 平 讶 签名、 门限 签名 、 具 有 消息 恢复 功 
能 的 签名 等 。 数 字 签 名 技术 是 公 钥 密码 体制 的 典型 应 用 。 数 字 签 名 的 应 用 过 程 是 ， 数 据 源 
发 送 方 使 用 自己 的 私 钥 对 数据 校 验 和 或 其 他 与 数据 内 容 有 关 的 变量 进行 加 密 处 理 ， 完 成 对 
数据 的 合法 “签名 ”， 数 据 接收 方 则 利用 对 方 的 公 钥 来 解读 收 到 的 “数字 签名 ”， 并 将 解 
读 结果 用 于 对 数据 完整 性 的 检验 ， 以 确认 签名 的 合法 性 。 数 字 签 名 技术 是 在 网 络 系统 虚拟 
环境 中 确认 身份 的 重要 技术 》 完 全 可 以 代 兰 现实 过 程 中 的 “亲笔 签字 ”， 在 技术 和 法 律 上 
有 保证 。 在 数字 签名 应 用 中 ， 发 送 者 的 公 钥 可 以 很 方便 地 得 到 ， 但 他 的 私 钥 则 需要 严格 保 
密 。 数 字 签 名 可 用 作 数 据 完 整 性 检查 并 提供 拥有 私 钥 的 凭据 ， 签 署 和 验证 数据 的 步骤 如 下 


1. 发 送 者 将 二 种 散 列 算法 应 用 于 数据 ， 并 生成 一 个 散 列 值 ; 

2. 发 送 者 使 用 私 钥 将 散 列 值 转换 为 数字 签名 ; 

3. 发 送 者 将 数据 、 签 名 发 给 接收 者 ; 

涯 接 收 者 使 用 发 送 者 的 公 钥 对 数字 前 面 进行 解密 ; 

5 发 送 者 将 该 散 列 算法 应 用 于 接收 到 的 数据 ， 并 生成 一 个 散 列 值 ; 
6. 比较 发 送 者 发 送 的 散 列 值 与 新 生成 的 散 列 值 是 否 相同 。 

7. 散 列 值 相同 则 表示 该 消息 来 自 与 发 送 者 ， 并 且 消 息 未 被 纂 改 。 


证 书 认 证 在 IPSec VPN 中 流程 
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在 IPSec 1KE 主 模式 协商 的 第 一 阶段 中 ,将 交换 证 书 认证 的 相关 信息 。 

在 消息 3 和 消息 4 中 ， 发 送 者 发 送 证 书 请 求 ， 请 求 使 用 证 书 对 身份 进行 认证 ; 接受 者 收 
到 请 求 后 作出 发 送 回应 信息 。 

在 消息 2 和 消息 6 中 ， 发 送 者 和 接受 者 相互 相关 数字 签名 所 需要 的 公 钥 信息 。 并 且 对 所 
交换 的 证 书信 息 做 验证 。 使 用 存储 在 本 地 的 根 证 书 的 公 钥 来 核实 对 方 的 实体 证 书签 名 ， 
CA 在 给 设备 颁发 实体 证 书 时 , 会 在 实体 证 书后 附加 一 个 签名 ， 我们 可 以 通过 根 证 书 中 的 
CA 公 钥 来 核实 对 方 实体 证 书 的 签名 。 

如 果 通 过 了 证 书签 名 真实 性 验证 ， 设 备 将 当前 时 间 和 证 书 上 的 开始 和 终止 时 间 做 对 比 
。 如 果 设 备 时 间 在 这 两 个 值 的 范围 内 ， 有 效 期 验证 通过 ， 否 则 ， 验 证 失败 。 

如 果 开 启 了 CRL 验 证 《依赖 于 设备 的 配置 ) ， 设 备 将 会 在 CRL 中 查找 对 方 证 书 中 的 序 
列 号 ， 如 果 找 到 也 序列 号 ， 则 认为 证 书 是 无 效 的 ， 验 证 失败 ; 如 果 没 有 找到 序列 号 ， 则 证 
书 验证 通过 。 


证 书 认 证 方式 IPSec VPN 场 景 


CA 
202.38.166.1/24 


GEO0/0/1 GEO0/0/1 所 
202.38.163.1/24 02.38.169.1/24 
Internet USG:B 


GEO0/0/0 
10.1.1.1/24 > 有 
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关键 配置 -配置 CA 证 书 (1) 


创建 公私 密 钥 对 。 

[USG_A] rsa local-key-pair create 
配置 PKI 实 体 信息 。 

[USG_A] pki entity entitya 
[USG_A-pki-entity-entitya] common-name DeviceA 
[USG_A-pki-entity-entitya] ip-address 202.38.163.1 
配置 PKI 域 domaina。 

[USG_Al] pki domain domaina [ 

USG_A-domainal] ca identifier ca_server1 
[USG_A-domaina] certificate request entity entitya 


[USG_A-domainal] certificate request url 
http://202.38.166.1:8889/certsrw/mscep/mscep.dll 
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在 防火 墙 A 上 ， 接 口 IP 地 址 、 安 全 区 域 及 域 间 包 过 滤 配 置 省 略 。 
定义 需要 保护 的 数据 流 参 考 配置 为 : 
[UsG_A] acl 3000 


[USG A-acl-adv-3000] rule ipPermit ip source 10.1.1.0 0.0.0.255 destination 
10.1.2.0 0.0.0.255 


静态 路 由 参考 配置 为 : 
[UsG_A] ip route-static 10.1.2.0 255.255.255.0 202.38.163.2 


当 IPSec 基 于 IP 认 下 时 >、、ip-address 项 为 必 配 项 ， 且 该 1P 为 和 对 端 进行 协商 接口 的 IP 
。1IPSec 缺 省 为 基于 IP 认 证 。 


关键 配置 -配置 CA 证 书 (2) 


在 线 申 请 CA 证 书 和 本 地 证 书 。 
[USG_A] pki retrieval-certificate ca domain domaina 
[USG_A] pki request-certificate domain domaina 


导入 本 地 证 书 和 CA 证 书 。 假 设 在 线 获取 到 的 本 地 证 书 为 domaina_local.cer， CA 
书 为 domaina_ca.cer。 


[USG_A] pki import-certificate local filename domaina_local.cer 


[USG_A] pki import-certificate ca filename domaina_ca.cer 
开启 CRL 验 证 功能 。 

[USG_A] pki crl check enable 
配置 自动 更 新 CRL。 

[USG_A] pki domain domaina 


[USG_A-domainal] crl auto-update enable 
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关键 配置 - 配置 IPSec 


。 配置 IPSec 安全 提议 tran1， 使 用 缺 省 配置 。 
[USG9300A] ipsec proposal tran1 
配置 IKE 安 全 提议 ， 配 置 验证 模式 为 rsa-sig， 其 余 为 使 用 缺 省 配置 。 
[USG9300A] ike proposal 10 





[USG9300A-ike-proposal-10] authentication-method rsa-sig 
配置 I|KE Peer。( 略 ) 
配置 IPSec 安全 策略 map1。 ( 略 ) 
在 接口 GigabitEthernet 1/0/2 上 应 用 安全 策略 map1。 (上 略 ) 
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配置 IKE Peer 参 考 命令 为 : 
[USG9300A] ike peer b 
[USG9300A-ike-peer-b] ike-preposal 10 





[USG9300A-ike-peer-b] cértificate local-filename local.cer 
[USG9300A-ike-peer3b] remote-address 202.38.169.1 
[USG9300A-ike-peersbjquit 

配置 IPSec 安 全 策略 map] 湖 考 命令 为 : 
[USG9300Alipsec policy mapl 10 isakmp 





[USG9300A=ipsec-policy-isakmp-map1-10] security acl 3000 
[USsG9300Asipsec-policy-isakmp-map1-10] proposal tran1 
[USG9300A-ipsec-policy-isakmp-map1-10] ike-peer b 
[USG9300A-ipsec-policy-isakmp-map1-10] quit 

在 接口 GigabitEthernet 1/0/2 上 应 用 安全 策略 map1 参 考 命令 为 : 
[UsG9300A] interface GigabitEthernet 1/0/2 
[USG9300A-GigabitEthernet1/0/2] ipsec policy map1l 
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L2TP 与 1PSec 功 能 对 比 


工作 方式 Client -Server LAN-LAN, 主 机 -主机 


OSI 模 型 层次 | 二 层 三 层 
多 协议 支持 ”| IP,IPX 等 IP 


较 对 的 鉴别 和 加 密 | 有 完整 内 在 安全 机 制 








包 加 密 NO ESP 
密 钥 管 理 NO ISAKMP 
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L2TP 封 装 PPP 分 组 的 方式 构建 的 ， 它 利用 L2iP 物 议 在 远程 终端 与 企业 内 部 网 之 间 建 立 
PPP 会 话 通道 ， 将 远程 终端 连 到 企业 内 部 网 站 同时 利用 PPP 协 议 提供 了 支持 多 协议 、 多 链 
路 、 数 据 压缩 、PPP 用 户 认证 等 功能 。 


统 的 L2TP 由 于 自身 协议 特点 ， 存 在 安全 隐患 。 配 置 L2TP over IPSec， 即 先 用 L2TP 封 装 
报 文 后 再 进行 |Pyec 封 装 ， 可 利用 IR3ece 弥 补 L2TP 的 安全 方面 的 不 足 ， 同 时 又 利用 L2TP 弥 补 
IPSec 在 用 户 认证 、 授 权 等 方面 的 不 足 % 


。 L2TP 隧 道 存在 以 下 安全 隐患 
o 攻击 者 可 以 通过 窃取 这 TP 数据 分 组 而 知晓 用 户 身份 ; 
0 攻击 者 可 以 修改 L2TP 控 制 数据 和 L2TP 数 据 分 组 ; 
oO 攻击 者 可 以 劫持 L2TP 隧 道 或 障 道中 的 PPP 连 接 ; 
oO 攻击 者 可 以 终止 PPP 连 接 或 L2TP 隧 道 来 进行 DO 攻击 ; 


0 攻击 者 可 以 修改 PPP ECP 或 CCP 协 议 ， 以 削弱 或 去 除 对 PPP 连 接 的 机 密 性 保护 ; 
也 可 通过 破坏 PPP LCP 鉴 别 协议 而 削弱 PPP 鉴 别 过 程 的 强度 或 获取 用 户口 令 。 
。 制约 IPSec 协议 构建 远程 访问 型 VPN 的 原因 
oNIPSec 虽 然 提 供 了 很 强 的 主机 级 的 身份 鉴别 ， 但 它 只 能 支持 有 限 的 用 户 级 身份 鉴 
别 。 而 在 远程 访问 型 YPN 中 远程 终端 用 户 要 进入 企业 内 部 网 必须 进行 严格 的 身份 
鉴别 。 目 前 IPSec 协 议 还 不 能 方便 、 有 效 地 实现 这 项 功能 ; 


o 在 IPSec 安 全 协议 中 ， 总 是 假设 封装 分 组 是 P 分 组 ， 目 前 尚 不 能 支持 多 协议 封装 ; 


L2TP over 1PSec 报 文 封装 





PPP 头 | ”加 密 PPP 负 载 
周一 一 PPP 让 








uDP 关 | L2TP 头 





PPP 头 | 加密 PPP 负 载 | 





L2TP 封 装 \ 











IP 头 | ESP 头 | UDP 头 | L2TP 头 





PPP 头 | 加 密 PPP 负 载 ESP 报 尾 |Aujh 报 尾 | 





k 


IPSec 加 密 一 一 一 一 一 





。 先 做 L2TP 封 装 ， 再 用 IPSec 加 密 ; 
。 只 能 使 用 IPSEC 进 行 加密 ， 认 证 和 加 密 没有 直接 的 关系 。 
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L2TP over 1PSec 转 发 流程 





Lac 根 据 用 户 认证 的 信息 查找 用 户 要 建立 隧道 的 “ 
LNS 地 址 ， 然 后 与 LNS 建 立 隧道 ， 并 协商 IPSEC 
加 密 信息 .LNS 并 把 私 网 地 址 分 配给 用 户 A. 
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L2TP over IPSec VPN 建 立 过 程 : 


客户 端 拨号 触发 L2TP 流 量 ; 


L2TP 流 量 触 发 IPSec VPN 建 立 ; 
L2TP 流 量 被 IPSec VPN 封 装 并 在 公 风 上 传输 ， 并 完成 L2TP VPN 协 商 与 认证 ; 
L2TP over IPSec VPN 建 立 完 成 , 所 有 数据 正常 传输 。 


L2TP over 1PSec 组 网 配置 举例 


GEO/0/1 LNS 
131.108.5.2/24 


GEO/0/0 
ET & 


etwork 


。 组 网 需求 : 
o ”LAC 客户 端 通过 Internet 连 接 到 公司 总 部 的 LNS 侧 。 
o 要 求 由 出 差 员工 (LAC Client) 直接 向 LNS 发 起 连接 请 求 ， 与 [NS 的 通讯 数据 通过 隧道 
Tunnel 传 输 。 
o 使 用 IPSec 对 L2TP 数 据 进行 加 密 。 
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统 的 L2TP 由 于 自身 协议 特点 ， 存 在 安全 隐患 a< 配 置 L2TP over IPSec， 即 先 用 L2TP 封 装 
报 文 后 再 进行 |Pyec 封 装 ， 可 利用 IPyec 弥 补 L2TP 的 安全 方面 的 不 足 ， 同 时 又 利用 L2TP 弥 补 
IPSec 在 用 户 认证 、 授 权 等 方面 的 不 足 $ 


L2TP over IPSec 场景 分 析 


此 种 场景 结合 了 L2TP 拨 号 上 网 和 IPSec 加 密 ， 
使 得 远程 用 户 接 入 VPN 应 用 更 加 灵活 、 安 全 。 


此 场景 先 使 用 L2TP 封 装 第 二 层 数 据 ， 对 身份 
认证 ; 再 使 用 IPSec 对 数据 进行 加 密 。 


在 IPSec 的 配置 中 ， 由 于 LAC 客 户 端 无 固定 IP 旺 SS 
址 ， 有 用 户 名 ， 可 以 使 用 野蛮 模式 进行 IKE 协 商 





配置 IPSec 保 护 数 据 流 时 ， 指 定 源 端 口号 为 
L2TP 协 议 号 UDP 1701。 


4 
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在 IPyec 配 置 中 ， 除 了 可 以 采用 野蛮 模式 进行 水 E 协 商 ， 同 样 可 以 配置 IPyec 策略 模板 
解决 对 端 IP 地 址 不 固定 的 问题 。 


防火 墙 基本 配置 
( 略 ) 











SS 略 或 策略 模板 
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防火 墙 基础 配置 包括 隧道 两 端 网 关 的 接口 基本 配置 、 安 全 域 间 包 过 滤 配 置 和 路 由 配置 


L2TP over 1PSec VPN 关 键 配 置 


。 配置 LNS 侧 的 IPSec 特 性 。 IKE 协 商 模式 为 野蛮 模式 ， 并 且 设 置 [emote-id 为 对 端 用 
户 名 client1。 


[LNS] ike peer peer1 





[LNS-ike-peer-peerl] exchange-mode aggressive 4 


[LNS-ike-peer-peerl] local-id-type fqdn 
[LNS-ike-peer-peerl] ike-proposal 1 
[LNS-ike-peer-peerl] pre-shared-key abcde 
[LNS-ike-peer-peerl] remote-id client1 

。 定义 IPSec 保护 数据 流 : 
[LNS] acl number 3001 
[LNS-acl-adv-3001] rule permit udp source-port eqn1701 
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Local-id-type 命 令 用 来 配置 KE 对 等 体 的 ID 类 和 型。 可 选择 的 参数 有 dn (表示 ID 类 型 为 
区 别名 的 形式 ) 、IP (表示 ID 类 型 为 |P 地 手 形式 ) 、fqdn (表示 ID 类 型 为 正式 域名 形式 ) 、 
User-fqdn (表示 ID 类 型 为 用 户 域名 的 形式 入。 


定义 IPyec 所 保护 数据 流 的 AcCL 中 ， 源 端口 号 为 L2TP 的 协议 号 。1701 端 口 为 LNS 作 为 
隧道 啊 应 端 处 理 L2TP 报 文 的 端口 。 


全 目录 


. VPN 基 础 知识 回顾 


. IPSec VPN 典 型 应 用 介绍 









































. L2TP Over IPSec 应 用 分 析 


.SSL 应 用 分 析 
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双 机 热 备 下 的 SSL VPN 场 景 


GE0/0/0 略 GE0/0/1 
ed Ey Ue VRRP 备 份 组 2 


LT \ 
10.100.10.2/24 ' 202.38.10.1/24 


GEO/0/1 


Server 1 
10.100.10.1/24 “ 
GEO/0/1 
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双 机 热 备 下 的 SSL VPN 场 景 分 析 


在 双 机 热 备 下 配置 SSL 网 络 扩展 资源 时 ， 
需要 将 地 址 池 与 YRRP 组 号 对 应 。 





启用 网 络 扩 展 功能 是 ， 将 网 络 扩展 地 址 
池 与 YRRP 组 号 绑 定 。 
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由 于 设备 使 用 自身 的 MAC 地 址 来 进行 通信 ,在 采用 主 备 方式 的 双 机 热 备 组 网 中 ， 如 果 
没有 将 网 络 扩 展 地 址 池 与 YRRP 组 号 绑 定 % 当主 备 切 换 时 ， 内 网 服务 器 仍 将 报 文 发 送 至 当 
前 的 备 设备 ( 即 切换 前 的 主 设备 ) ， 导 致 业务 中 断 。 直 到 内 网 服务 器 的 ARP 表 刷新 后 ， 报 
文才 会 发 送 到 当前 主 设备 ， ee 被 访问 。 将 网 络 扩 展 地 
址 池 与 VRRP 组 号 绑 定 后 ， 设 备 会 使 用 MRRP 的 虚 MAC 地 址 来 进行 通信 ， 吕 免 了 上 述 问 题 


oo 


双 机 热 备 下 的 SSL VPN 配 置 思 





ER 
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关键 配置 (1) 


虚拟 网 关 的 IP 地 址 应 为 
VRRP2 的 IP 地 址 


SSLVPN 
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在 Web 配 置 界 面 中 ， 选 择 “VPN > SSL VPN=> 虚拟 网 关 管理 ”， 单 击 “ 新 建 ”。 在 IP 
地 址 一 栏 中 ， 应 该 配置 VRRP 备 份 组 公 网 接口 的 IP 地 址 。 


关键 配置 (2) 


网 络 扩展 


网 络 扩展 
回 启用 网 络 扩 展 功能 
口 保持 连接 
口 启用 点 对 点 通读 

客户 请 IP 分 配方 式 
10.10.10.2]* 
10.10.10.10|* 
IP 地 址 池 方 式 255 .255 .255 . 0 ]* 


ne 





VRRP VRID 








在 主 备 方式 的 双 机 热 备 组 网 中 ， 需 在 主 备 
设备 上 分 别 配置 “VRRP VRID”， 将 网 络 
扩展 地 址 池 与 VRRP 组 号 绑 定 。 
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总 结 


e。 |PSec VPN 高 级 特性 及 配置 
。L2TP over IPSEC VPN 高 级 特性 及 配置 
e。 SSL VPN 双 机 热 备 应 用 场景 
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败 。 


哪些 安全 协议 可 以 支持 NAT 应 用 场景 ? 

AH 安 全 协议 为 何不 支持 NAT 应 用 场景 ? 

IPyec 策 略 模板 的 主要 应 用 于 什么 场景 ? 

L2TP over IPSec 中 L2TP 与 IPSec 之 间 是 什么 关系 ? 
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哪些 安全 协议 可 以 支持 NAT 应 用 场景 ? 

答题 要 点 : ESP 

AH 安 全 协议 为 何不 支持 NAT 应 用 场景 ? 

答题 要 点 : AH 协 议 对 IP 包 头 进 行 验 证 ， 由 于 NAT 将 IP 头 部 信息 转换 ， 


IPSec 策 略 模 板 的 主要 应 用 于 什么 场景 ? 

答题 要 点 : 点 到 多 点 IPSec VPN 

L2TP over IPSec 中 L2TR 与 IPSec 之 间 是 什么 关系 ? 

答题 要 点 : 数据 包 进行 封装 时 ， 首 先 封 装 L2TP， 然 后 封装 IPyec。 





会 导致 验证 失 


练习 题 


。 判断 题 
1.L2TP over IPSec 是 指 IPSec VPN 通 过 ACL 包 含 的 感 兴趣 流 触发 L2TP VPN 的 建立 。 
。 单 选 题 
1. 以 下 哪个 安全 协议 可 支持 在 NAT 应 用 场景 ? XX 
As ESPR B. AH GCG:AHtESP D. 其 它 都 支持 
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习题 与 答案 : 

1.L2TP over IPSec 是 指 IPSec VPN 通 过 ACL 包 含 的 感 兴趣 流 触 发 L2TP VPN 的 建立 。 
答案 : 错误 

2. 以 下 哪个 安全 协议 可 支持 在 AW 应 用 场景 ? 

A. ESP B. AH CSAH+ESP D. 其 它 都 支持 


答案 : 人 


人 
Su 
化 


Thank You 
www.huawei.com 





HC120310005 
防火 墙 基本 攻击 防 





@ 目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
了 解 基本 的 网 络 攻击 
掌握 防火 墙 基本 攻击 防范 技术 
熟悉 防火 墙 基本 攻击 防范 应 用 与 配置 
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全 目录 


1， 网 络 攻击 介绍 
2， 防 火 墙 攻击 防范 通用 技术 
3， 防 火 墙 攻击 防范 应 用 
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网 络 攻击 介绍 


。 流量 型 攻击 

。 畸形 报 文 攻击 
。 特殊 报 文 攻击 Q 
。 扫描 帘 探 攻击 


Enterprise Network 

















Ek 
-3 (Zombie ， 
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通常 的 网 络 攻 击 ， 一 般 是 侵入 或 破坏 网 上 的 服务 器 (主机) ， 盗 取 服务 器 的 敏感 数据 
或 占用 网 络 带 宽 ， 干 扰 破 坏 服务 器 对 外 提供 的 服务 。 也 有 直接 破坏 网 络 设备 的 网 络 攻 击 ， 
这 种 破坏 影响 较 大 ， 会 导致 网 络 服务 异常 ， 湛 至 中 断 。 


网 络 攻击 主要 分 为 流量 型 攻击 ， 扫 描 玩 探 攻 击 ， 畸 形 报 文 攻击 和 特殊 报 文 攻击 。 
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流量 型 攻击 是 指 攻击 者 通过 大 量 的 无 用 数据 占用 过 多 的 资源 以 达到 服务 器 拒绝 服务 的 
目的 。 

这 类 攻击 典型 特征 是 通过 发 出 海量 数据 包 ， 造 成 设备 负载 过 高 ， 最 终 导 致 网 络 带 宽 或 
是 设备 资源 耗 尽 。 通 常 ， 被 攻击 的 路 由 器 服务 器 和 防火 墙 的 处 理 资源 都 是 有 限 的 ， 攻 击 
负载 之 下 它们 就 无 法 处 理 正常 的 合法 访问 ， 导 致 正常 服务 被 拒绝 。 流 量 型 攻击 最 通常 的 形 
式 是 Flood 方 式 ， 这 种 攻击 把 大 量 看 似 合法 的 TCP、UDP、ICMP 包 发 送 至 目标 主机 ， 甚 至 
， 有 些 攻击 者 还 利用 源 地 址 伪造 技术 来 绕 过 检测 系统 的 监控 ， 以 达到 攻击 的 目的 。 


扫描 规 探 攻击 


。 扫描 帘 探 攻击 : IP 地 址 扫描 与 端口 扫描 
潜在 攻击 目标 睛 二 党 








攻击 终端 
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扫描 帘 探 攻击 是 利用 ping 扫 射 (包括 ICMP 和 TCP) 来 标识 网 络 上 存活 着 的 系统 ， 从 
而 准确 清楚 潜在 的 目标 ;利用 TCP 和 和 UDP 端口 扫描 ， 就 能 检测 出 操作 系统 和 监听 着 的 潜在 
服务 。 攻 击 者 通过 扫描 顷 探 就 能 大 致 基 解 目标 系统 提供 的 服务 种 类 和 潜在 的 安全 漏洞 ， 为 
进一步 侵入 系统 做 好 准备 。 


畸形 报 文 攻击 


。 畸形 报 文 攻击 














畸形 报 文 攻击 是 指 通过 向 目标 系统 发 送 有 缺陷 的 IP 报 文 ， 使 得 目标 系统 在 处 理 这 样 的 
IP 报 文 时 发 生 错误 ， 或 者 造成 系统 骨 溃 , 旬 响 目标 系统 的 正常 运行 。 主 要 的 畸形 报 文 攻 击 
有 Ping of Death、Tearadrop 等 。 


特殊 报 文 攻击 


。 特殊 报 文 攻击 





攻击 终端 
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特殊 报 文 攻击 是 指 攻击 者 利用 一 些 合 法 的 报 交 对 网 络 进行 侦察 或 者 数据 检测 ， 这 些 报 
文 都 是 合法 的 应 用 类 型 ， 只 是 正常 网 络 很 少 用 到 。 


畏 目录 


1， 网 络 攻击 介绍 

2. 防火 墙 攻 击 防范 通用 技术 
2.1 URPF 技 术 
2.2 黑 名 单 技术 
2.3 IP - MAC 地 址 绑 定 
2.4 端口 映射 
2.5 防火 墙 的 防范 特性 -日 志 

防火墙 攻 击 防范 应 用 分 析 
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URPF 场 景 说 明 
Source IP 2.2.2.2 | 未 启用 URPF | 


Destination IP 3.3.3. 





Gl Source IP 4.4.4.4 
ient Destination IP 3.3.3.3 
2.2.2.2 


Source IP 2.2.2.2 
Destination IP 3.3.3. 


ali Source IP 4.4.4.4 
ient ”Destination IP 3.3.3.3 
2.2.2.2 


。 URPF 技 术 
o 是 单 播 逆 向 路 径 转 发 的 简称 ， 其 主要 功能 是 防止 基于 源 地 址 欺骗 的 网 络 攻击 行为 。 
， 严格 模式 
， 松散 模式 
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。 严格 模式 
建议 在 路 由 对 称 的 环境 下 使 用 URPF 严 格 模 式 ， 即 : 不 仅 要 求 在 转发 表 中 存在 相应 表 
项 ， 还 要 求 接口 一 定 匹配 才能 通过 URPF 检 查 。 


如 果 两 个 网 络 边界 路 由 器 (此 处 为 SG) 之 间 只 有 一 条 路 径 的 话 ， 这 时 ， 路 由 能 够 保 
证 是 对 称 的 ， 使 用 严格 模式 能 够 最 大 限度 的 保证 网 络 的 安全 性 。 


。 松散 模式 


在 不 能 保证 路 由 对 称 的 环境 下 使 用 URPF 的 松散 模式 ， 即 : 不 检查 接口 是 否 匹配 ， 只 
存在 针对 源 地 址 的 路 由 , ` 报 文 就 可 以 通过 。 


URPF 处 理 流 程 


。 URPF 的 处 理 流程 如 下 : 


o 如 果 报 文 的 源 地 址 在 USG 的 FIB 表 中 存在 。 





o 如 果 报 文 的 源 地 址 在 USG 的 FIB 表 


default-route 人 参数 。 
设备 启用 URPF 功 能 
-| 3 














.| 对 于 strict 型 检查 ， 反 向 
查找 报 文 出 接口 


、 一 是否 Fl 的 出 接口 
和 报 文 的 入 接口 一 一 匹配 


Y 
报 文 的 源 地 址 在 USG 
FIB: We 对 报 文通 过 检查 
的 FlB 表 中 存在 es 对 于 loose 型 检查 报 文正 常 转发 
NO 
报 文 丢弃 
~- 一 是 否 配置 缺 省 路 由 一 
是否 配置 参数 ollow- 
deloullfoule 
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URPF 的 处 理 流程 : 
。 如 果 报 文 的 源 地 址 在 USG 的 FIB 表 中 存在 。 





不 存在 ， 则 检查 缺 省 路 由 及 URPF 的 allow 


报 文通 过 检查 


y 必 | 。 报 文正 常 转发 


? ~ 
-| 。 报 文 将 被 拒绝 。 -一 判断 Cl 规 区 
本 二 \ 


Now 


NO 


Ye | 对 于 strict 型 检查 , 缺 甸 器 由 的 国 
接口 与 报 文 的 入 接 虽 证 一 致 / 


Ye | 对 于 shrict 型 检查 W 张 省 路 国 的 出 
接口 与 报 文 的 人 接 昌 一 致 报 文通 过 检查 
”_ 报 文 正常 转发 


WW huawel 


对 于 Hese 型 检查 
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a strict 型 检查 ， 反 向 查找 报 文 出 接口 ， 若 只 有 一 个 出 接口 和 报 文 的 入 接口 一 一 对 于 
匹配 ， 则 报 文通 过 检查 ; 否则 报 文 将 被 拒绝 。 当 有 多 个 出 接口 和 报 文 的 入 接口 相 


匹配 时 ， 必 须 使 用 loose 型 检查 。 


o 对 于 loose 型 检查 ， 当 报 文 的 源 地 址 在 USG 的 FIB 表 中 存在 (不管 反 向 查找 的 出 接 
口 和 报 文 的 入 接口 是 否 一致 ) ， 报 文 就 通过 检查 ; 否则 报 文 将 被 拒绝 。 


。 如 果 报 文 的 源 地 址 在 USG 的 FIB 表 中 不 存在 ， 则 检查 缺 省 路 由 及 URPF 的 allow-default- 


route 人 参数 。 


o 对 于 配置 了 缺 省 路 由 ， 但 没有 配置 参数 allow-default-route 的 情况 。 只 要 报 文 的 源 
地 地 在 USG 的 FIB 表 中 不 存在 ， 该 报 文 都 将 被 拒绝 。 


o 对 于 配置 了 缺 省 路 由 ， 同 时 又 配置 了 参数 allow-default-route 的 情况 。 


> 如 果 是 strict 检 查 ， 只 要 缺 省 路 由 的 出 接口 与 报 文 的 入 接口 一 致 ， 则 报 文 将 
通过 URPF 的 检查 ， 进 行 正常 的 转发 。 如 果 缺 省 路 由 的 出 接口 和 报 文 的 入 接 


口 不 一 致 ， 则 报 文 将 拒绝 。 


" 如 果 是 loose 型 检查 ， 报 文 都 将 通过 URPF 的 检查 ， 


进行 正常 的 转发 。 


URPF 处 理 流 程 


。 当 且 仅 当 报 文 被 拒绝 后 ， 才 去 匹配 ACL 列 表 。 如 果 被 ACL 人 允许 通过 
， 则 报 文 继续 进行 正常 的 转发 ; 如 果 被 ACL 拒 绝 ， 则 报 文 被 丢弃 。 
。 URPF 配 置 : 
o 进入 接口 视图 X 
[USG] interface interface-type interface-number “a 


o 启用 接口 URPF 功 能 


全、 


ip urpf { loose | strict } [ allow-default-route ] [ acl acl-number Ne 


ipv6 urpf { loose | strict } [ allow-default-route ] [ acl6 acl-number ] (IPv6) 
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。 操作 步骤 
执行 命令 System-view， 进 入 系统 视图 
执行 命令 interface interface-type interface-number， 进 入 接口 视图 。 


可 以 使 能 URPF 功 能 的 接口 包括 GE 接口 、VLAN 1IF 接 口 、Eth-Trunk 接 口 、Tunnel 接 口 
和 子 接口 。 


使 能 接口 URPF 功 能 。 
IPv4 网 络 中 执行 命令 ip Urpf { loose | strict } [ allow-default-route ] [ acl acl-number ] 


IPv6 网 络 中 执行 命令 ipv6 urpf { loose | strict } [ allow-default-route ] [ acl6 acl-number 


防火 墙 的 防范 特性 一 黑 名 单 


上 
Se 


。 黑 名 单 
o 根据 报 文 源 IP 地 址 进行 过 滤 的 一 种 方式 。 同 基于 ACL 的 包 过 滤 功 
能 相 比 ， 由 于 黑 名 单 进 行 匹配 的 域 非常 简单 可 以 以 很 高 的 速度 
实现 报 文 的 过 滤 ， 从 而 有 效 地 将 特定 IP 地 址 发 送 来 的 报 文 屏蔽 。 
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0 个 特色 是 可 以 由 USG 防 火 墙 动态 地 进行 添加 或 删除 ， 当 防火 墙 中 根 
据 报 文 的 行为 特征 察觉 到 特定 IP 地 址 的 攻击 企图 之 后 ， 通 过 主动 修改 黑 名 单列 表 从 而 将 该 
ss 才 滤 掉 。 因 此 ， 黑 名 单 是 防火 墙 一 个 重要 的 安全 特性 。 


防火 均 的 防范 特性 一 黑 名 单 


。 黑 名 单 功能 一 般 和 IP 扫 描 ，port 扫 描 ，ACL 等 攻防 命令 配置 使 
动态 的 添加 删除 黑 名 单 内容 ， 也 可 以 静态 手工 添加 黑 名 
单 内 容 
。 黑 名 单 配置 : 
o 配置 黑 名 单 功能 
[USGI]firewall blacklist enable 
o 静态 手工 添加 黑 名 单 
[USG] firewall blacklist item 202.169.168.1 timeou Qo 
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。 命令 


firewall blacklist { enable [ acl-number ac/-number ] | item source-address 
[[timeout/interval] vpn-instance vpn-instance-name | | 


filter-type { icmp | tcp | udp | others } } 


undo firewall blacklist { ,enable | item [ [ source-address ] [ vpn-instance vpn- 
instancename] | filter-type.Licmp | tcp | udp | others ] } 


。 参数 
enable: 使 能 黑 名 单 功 能 acl-number ac/-number item source-address: 指定 添加 
到 黑 名 单 的 IP 地 址 。 


filtertype 准 黑 名 单 过 滤 类 型 ， 包 括 四 个 参数 icmp、tcp、udp 和 other， 分 别 表示 过 
滤 ICMP 报 文 、 TCP 报 文 、UDP 报 文 和 其 他 报 文 四 种 类 型 。 


一 上 


防火 墙 的 防范 特性 一 黑 名 单 
和” 防火墙 安全 防护 黑 名 单 > 


黑 名 单列 表 
[ 宇 统 天 有 i 作 内 刷新 Q 吉 间 


JP 地 址 老化 时 间 加 入 时 间 
= 二 (新建 黑 名 单列 表 


新 建 黑 名 单 








A 


: 人 So 分 
> 铺 着 不 指定 老化 时间 、 则 该 电 名 单 永远 有 效 。 
| @ 设 置 黑 名 单 P 和 老化 时 间 若 不 指定 老化 时 间 。 岂 该 时 名单 永远 有 效 


两 JS 
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. 选择 “防火 墙 > 安全 防护 > 黑 名 单 ”。 

. 在 “配置 黑 名 单 ” 界 面 ， 选 中 “ 黑 名 单 功能 ”对 应 的 “启用 ” 复 选 框 。 
. 配置 黑 名 单 绑 定 ACL 号 ， 参 数 说明 请 参见 表 1。 

. 单 击 “ 应 用 ”。 

在 “ 黑 名 单列 表 ”界面 中 ， 查 看 黑 名 单 表 项 信息 。 


am 天 WwW ND 


1P 一 MAC 地 址 绑 定 


IP -MAC 地址 绑 定 


o 只 有 完全 匹配 IP 和 MAC 的 报 文才 能 进入 防火 墙 的 下 一 个 处 理 流 
程 ， 不 匹配 的 报 文 将 被 丢弃 。 


IP - MAC 地 址 绑 定 配置 Sy 


# 配置 客户 机 IP 地 址 和 MAC 地 址 到 地 址 绑 定 关 系 中 。 

[USG] firewall mac-binding 202.169.168.1 00e0-fc00-0100 < 
# 使 能 地 址 绑 定 功能 。 

[USG] firewall mac-binding enable -A 


(7 报 文 即 不 匹配 IP， 也 不 匹配 MAC， 能 否 通过 防 必 墙 ? 
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enable: 使 能 地 址 绑 定 功能 。sourGe-adaress: 指定 地 址 绑 定 对 的 IP 地 址 。mac- 
address: 指定 地 址 绑 定 对 的 MAC 地 址 。vpn-instance vpn-instance- name: 配置 指定 
VPN 实例 的 地 址 绑 定 信息 。 


all: 全 部 地 址 绑 定 对 。 
。 【举例 】 


# 在 地 址 绑 定 表 项 中 插入 = 条 IP 地 址 为 192.168.10.10，MAC 地 址 为 00e0-0000-0001 
的 地 址 绑 定 表 项 。 


[USG] firewalhkmac-binding 192.168.10.10 00e0-0000-0001 


# 在 地 址 表 项 中 为 VPN 实例 v1 插入 一 条 IP 地 址 为 192.168.2.2，MAC 地 址 为 1234- 
5678-9012 的 地 址 绑 定 表 项 。 


[USG]firewall mac-binding 192.168.2.2 1234-5678-9012 vpn-instance v1 
# 使 能 地 址 绑 定 功能 。 


[USG] firewall mac-binding enable 


IP 一 MAC 地 址 绑 定 


配置 IP-MAC 地 址 绑 定 


IP-MAC 地 址 绪 定 功能 


及 人 四 剧 新 人 Q 吉 询 


fF) 新 建 IP-Mac 绑 定 列 表 








全 防火墙 安全 防护 》 IP-MAC 逆 定 》 
新 建 IP-MAC 地 址 绑 定 


| ET 
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。 |P-MAC 绑 定 
通过 配置 MAC 和 IP 地 址 绑 定 ， 可 以 防 站 IP 仿 骨 。 


IP-MAC 绑 定 是 指 MAC (Media Access Control) 和 IP 地 址 绑 定 ， 设 备 根据 用 户 的 配置 
， 在 IP 地 址 和 MAC 地 址 之 间 形 成 关联 关系 。 对 于 声称 源 地 址 为 这 个 IP 地 址 的 报 文 ， 如 
果 其 MAC 地 址 不 是 指定 关系 对 申 的 MAC 地 址 ， 设 备 将 予以 丢弃 。 目 的 地 址 为 这 个 IP 地 
址 的 报 文 ， 在 通过 设备 时 将 被 强制 发 送 到 MAC-IP 地 址 关联 关系 中 ， 该 IP 地 址 对 应 的 
MAC 地 址 ， 从 而 对 用 户 形成 有 效 的 保护 。 


。 操作 步 又 
选择 “防火 墙 > 安全 防护 > IP-MAC 绑 定 ”。 
在 “配置 IP-MAG 地 址 绑 定 ”界面 中 ， 开 启 地 址 绑 定 功能 。 
选中 “启用 ”对 应 的 复 选 框 。 
单 击 “应 用 ”3 


在 “IP-MAC 地 址 绑 定 列表 ”界面 中 ， 配 置 MAC 和 IP 地 址 绑 定 。 
单 击 ”“ 新 建 ”， 配 置 IP-MAC 地 址 绑 定 的 各 参数 ， 参 数 说 明 请 参见 表 1 。 
单 击 “应 用 ” 


端口 映射 (Port Mapping) 


。 端口 识别 是 把 非 标准 协议 端口 映射 成 可 识别 的 应 用 协议 端口 
FTP Server 
20.0.0.1:31 


Host 10.0.0.1 


。 配置 基本 ACL 
ACL 2000-2099 
Rule permit source IP address Wildcard 
。 配置 端口 识别 (或 端口 映射 ) 
Port-mapping protocol-name port port-number acl achnufi6SE 
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端口 识别 ， 也 称 端 口 映射 ， 是 防火 墙 用 来 误 别 使 用 非 标准 端口 的 应 用 层 协议 报 文 。 端 
口 映 射 支持 的 应 用 层 协 议 包括 FTP、HNTPRRTSP、PPTP、MGCP、MMS、SMTP、 
H323、SIP、SQLNET。 

端口 识别 基于 ACL 进 行 ， 只 有 匹配 某 条 ACL 的 报 文 ， 才 会 实施 端口 映射 。 端 口 映 射 使 
用 基本 ACL (编号 2000~2999) 网 端 国 映 射 在 使 用 ACL 过 滤 报 文 时 ， 使 用 报 文 的 目的 IP 地 
址 去 匹配 基本 ACL 中 配置 的 源 IR 地 址 。 

ACL(Access Control List 访 问 控制 列表 是 一 系列 有 顺序 的 规则 组 的 集合 ， 这 些 规 则 根 
据 数 据 包 的 源 地 址 、 目 的 地 址 、 端 口号 等 来 描述 。ACL 通 过 规则 对 数据 包 进 行 分 类 ， 这 些 
规则 应 用 到 路 由 设备 上 六 路 由 设备 根据 这 些 规 则 判断 哪些 数据 包 可 以 接收 ， 哪 些 数据 包 需 
要 拒绝 。 


ACL 分 为 以 下 四 类 : 


o 基本 ACL (2000~2999) : 只 能 通过 源 IP 地 址 和 时 间 段 来 进行 流量 匹配 ， 在 一 
些 只 需要 进行 简单 匹配 的 功能 可 以 使 用 。 

b、 高 级 ACL (3000 一 3999) : 通过 源 IP 地 址 、 目 的 IP 地 址 、ToS、 时 间 段 、 协 议 
类 型 、 优 先 级 、ICMP 报 文 类 型 和 ICMP 报 文 码 等 多 个 维度 来 对 进行 流量 匹配 ， 在 大 
部 分 功能 中 都 可 使 用 高 级 ACL 来 进行 精确 流量 匹配 。 

o 基于 MAC 地 址 的 ACL (4000 一 4999) : 可 以 通过 源 MAC 地 址 、 目 的 MAC 地 址 、 
CoS、 协 议 码 等 维度 来 进行 流量 匹配 。 


端口 映射 (Port Mapping ) 


人 纪 防火 墙 》 服务 > 服务 映射 > 
服务 映射 列表 


中 新 建 器 及 条 和 刷新 | 
端口 





@ 新 建 服务 映射 刀 姓 








新 建 服务 映射 
协议 
自 定义 端口 号 


*<Q-65535> 
目的 地 址 ny 
时 间 让 @ 设 置 映射 笋 说 和 自 定义 端口 号 | 
动作 i 
应 用 GRE 


Page 20 HUAWEI 














服务 映射 


应 用 层 协 议 一 般 使 用 知名 端口 号 进行 通信 ， 例 如 FTP 使 用 20 和 21 端 口 ，Web 服 务 通常 
使 用 80 问 口 。 但 是 在 某 些 情况 下 ， 内 网 服务 器 需要 通过 其 他 自 定义 端口 对 外 提供 知名 服务 
时 ， 可 以 通过 服务 映射 功能 来 完成 相应 的 转换 。 


1， 选择“ 防火 墙 > 服务 > 服务 映射 * 4。 

2， 在 “服务 映射 列表 ”中 , 。 单 击 新 建 ”。 
3， 依 次 输入 或 选择 各 项 参数 ， 如 表 1 所 示 。 
4， 单 击 “ 应 用 ”。 


防火 墙 的 防范 特性 一 日 志 《〈log) 


ee 过 ee 和 eq 全 ma 


完整 流 的 源 地 址 、 记录 收 到 的 ”记录 防火 墙 识 自动 将 发 现 
法 说 口 、 目 的 地 ”各 种 攻击 的 ”，。 别 出 来 的 各 种 的 非法 用 户 运行 次、 
源 应 汇总 。 应 用 的 流量 数 详细 相关 信 如意 的 连接 


Zu Ar 信 息 3 小 
人 后 每 30 秒 输 所 edo 区 < 所 
百 / 己 \ 一 Dy 心 妇女 人 、 
+ 种 政 击 报 广 
数目 等 统计 


信息 


SYSLOG/BINARY 
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USG 防 火 墙 提 供 完 整 、 统 一 的 日 志 信 息 描述 ， 日 寺 类 型 包括 : 
。 NAT 日 志和 ASPF 流 日 志 

日 志 内 容 中 包含 一 个 完整 流 的 源 地 址 、 源 端口 、 目 的 地 址 、 目 的 端口 等 信息 ， 及 流 的 
开始 和 结束 时 间 、 流 的 状态 信息 等 os 对 于 使 用 NAT 功 能 的 流 还 标识 了 地 址 转换 之 后 的 地 址 
和 端口 信息 。 
。 攻击 防范 日 志 

当 发 生 大 量 攻 击 时 ，USG 防 火 墙 利用 队列 机 制 对 防火 墙 支持 的 攻击 防范 特性 提供 日 志 
告警 信息 ， 通 过 SYSLOG 方 式 输出 告警 ， 告 警 信息 包括 攻击 来 源 〈 源 地 址 ) 和 攻击 种 类 等 。 
。 流量 监控 日 志 


USG 防 火 墙 根据 安全 域 、IP 地 址 等 参数 进行 流量 监控 ， 判 断 速率 或 连接 数目 是 否 达到 
上 限 或 下 限 值 ， 当 达到 上 限时 触发 告警 并 记录 日 志 ， 从 而 有 效 监控 流量 ; 当 达 到 下 限时 ， 
也 触发 告警 4 指示 系统 恢复 正常 。 


。 黑 名 单 日 志 

USG 防 火 墙 对 于 在 检测 中 发 现 的 非法 用 户 ， 自 动 将 该 用 户 的 源 IP 地 址 加 入 到 黑 名 单 中 ， 
并 产生 一 条 黑 名 单 日 志 ， 该 日 志 记 录 主 机 地 址 、 加 入 原因 等 信息 。 
。 多 种 统计 信息 


记录 流 统计 信息 ， 了 解 防 火 墙 运 行 状况 。 这 些 流 统计 信息 包括 : 总 的 连 车 接 数 目 、 当前 
连接 及 半 连 接 数 目 、 最 高 峰值 及 丢弃 报 文 数目 。 记 录 各 种 攻击 报 文 的 数目 。 


防火 墙 的 防范 特性 一 日 志 (log) 


选择 “日 志 > 日 志 显 示 > 日 志 显示 ” 
选择 “日 志 显 示 ”页 


日 志 显示 日志 纤 中 区 卫 团 

日 志 显 示 列 表 

国 叶 出 恺 出 | 请 这 笃 查 词 条 件 

安全 级 别 日 志 类 型 简 壕 

国 效 寺 UPLOAD 2 211935 用 户 通过 Web 方 式 上 传 文 

全 等 吉 LINK_STATE -11-2 32 链 路 协议 在 接口 Giga 

全 敬告 STATUSUP 32 GigabitEthemeto/o: 

图 区 二 A 2013-11-21 47 馆 路 协议 在 接口 GigabitEthemet MOL VTS 
二 警告 STATUSDOWN Se abiEthemeto/0m 庙 口 Wi 

和 @ 革 二 DEL_UNRSYV 

便于 二 UPLOAD 

全 车 村 DEL_UNRSYV 2 定 是 久 婴 祭文 件 flash -NcoB000083 

全 敬告 UPLOAD 2 3 通过 Web 方 式 上 传 文件 。 级 录 IP 二 由 

图 警 吉 PASS -2 3 用 户 adminlP`192 168021D- 便 登录 成 功 

全 时 二 UNK_STATE 2 21 19:29.42 链 路 协议 在 接口 GIgabltG 析 EGGE 居 态 玄 为 UP。 
全 将 可 STATUSUP 2013-11-21 19:29:42 GigabitEthemet0/0/0 测 国 类 态 交 为 DO 
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。 日 志 种 类 划分 
普通 系统 日 志 





普通 系统 日 志 包 括 包 过 滤 日 志 、HTTP 访 问 日 志 、 攻 击 防 范 日 志 、 黑 名 单 日 志 、 地 址 绑 定 日 志 


坟 入 侵 检 测 日 志 、 防 病毒 日 志 、 URLE 过 滤 日 志 等 。 
会 话 日 志 
会 话 日 志 主 要 是 包括 NAT/ASPF 等 的 会 话 信息 日 志 ， 支 持 Syslog 和 二 进 制 两 种 输出 方式 。 


流量 监控 日 志 包 括 基 础 流量 日 志 、 应 用 流量 日 志 、DPI 流 量 监控 日 志和 接口 流量 日 志 等 。 
。 日 志 输 出 原理 

根据 日 志 输 出 方式 的 不 同 可 以 分 为 Syslog 日 志 、 二 进 制 日 志 

Syslog 日 志 


像 普 通 系 统 日 志 以 及 流量 监控 日 志 〈 除 DPI 流量 监控 日 志 外 ) 采用 Syslog 方 式 以 文本 格式 进行 
输出 。 这 些 日 志 信息 必须 通过 信息 中 心 模块 进行 日 志 管理 和 输出 重 定向 ， 然 后 显示 在 终端 屏幕 上 ， 


或 者 发 送 给 日 志 主 机 进行 存储 和 分 析 。 
三 进 制 日 志 


像 会 话 日 志 中 NAT/ASPF 产 生 的 日 志 、DPI 流 量 监控 日 志 ， 对 于 这 种 类 型 的 日 志 提供 了 一 种 
进 制 ” 输 出 方式 ， 直 接 输出 到 二 进 制 日 志 主机 以 便 对 日 志 进 在 行 存 储 和 分 析 ， 无 需 信 息 中 心 模块 的 





参与 相 比 较 而 言 ， 二 进 制 日 志 的 传输 效率 高 于 Syslog 日 志 。 


防火 墙 的 防范 特性 一 联动 


。 攻击 防范 联动 

o 由 于 防火 墙 自身 具有 一 定 的 局 限 性 ， 如 检查 的 颗粒 度 较 粗 ， 难 以 对 众多 
的 协议 细节 进行 深入 的 分 析 与 检查 ， 并 且 防 火 墙 具有 防 外 不 防 内 的 特点 ， 
难以 对 内 部 用 户 的 非法 行为 和 已 经 渗透 的 攻击 进行 有 效 的 检查 和 防范 。 
因此 ，USG 防 火 墙 开放 了 相关 接口 ， 通 过 与 其 它 安 全 软件 进行 联动 ， 从 
而 构建 统一 的 安全 网 络 。 

目前 支持 联动 的 设备 

o 支持 与 SIG 联 动 功能 ; 

o 支持 与 NIP 联 动 功能 ; 

o 支持 与 TSM 联 动 ; 

o 支持 其 他 厂商 的 IDS 联 动 。 
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一 般 情况 下 ， 为 了 确保 系统 的 通信 性 能 不 受 安全 设备 的 影响 太 大 ，IDS 设 备 不 能 像 防 火 
墙 一 样 置 于 网 络 入 口 处 ， 只 能 置 于 旁 路 位 置 而 在 实际 使 用 中 ，ID3 的 任务 往往 不 仅 在 于 
仿 测 ， 很 多 时 候 在 IDS 发 现 入 侵 行为 以 后 ， 也 需要 IDS 本 身 对 入 侵 及 时 遏止 。 显 然 ， 要 让 处 
于 旁 路 侦 听 的 IDS 完 成 这 个 任务 又 太 难 为 入 同时 主 链 路 又 不 能 串 接 太 多 类 似 设备 。 在 这 种 
情况 下 ， 如 果 防 火 墙 能 和 ID3、 病毒 检测 等 相关 安全 产品 联合 起 来 ， 充 分 发 挥 各 自 的 长 处 ， 
协同 配合 ， 共 同 建立 一 个 有 效 的 安全 防范 体系 ， 那 么 系统 网 络 的 安全 性 就 能 得 以 明显 提升 。 


目前 主要 有 两 种 解决 办 法 & 一 种 是 直接 把 IDS、 病 毒 检 测 部 分 直接 “做 ”到 防火 墙 中 ， 
使 防火 墙 具 有 IDS 和 病毒 检测 设备 的 功能 ; 另 一 种 是 各 个 产品 分 立 ， 通 过 某 种 通讯 方式 形 
成 一 个 整体 ， 一 旦 发 现 安全 事件 ， 则 立即 通知 防火 墙 ， 由 防火 墙 完 成 过 滤 和 报告 。 目 前 更 
看 重 后 一 种 方案 ， 因 为 它 实 现 方式 较 前 一 种 容易 许多 。 


。 目前 联动 的 IDS 设 备 
oa 可 以 和 启明 星辰 的 IDS 联 动 ; 
o 名 以 和 安 氏 IDS 联 动 ; 
oN 可 以 和 天 龙马 IDS 联 动 ; 
co 可 以 和 金 诺 网 安 IDy 联 动 ; 
a 支持 与 SIG 联 动 功能 ; 
o 支持 与 NIP 联 动 功能 。 


防火 墙 的 防范 特性 一 联动 


™ 
站 





AN 
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。 防火 墙 联动 : 
o 配置 防火 墙 和 NIP 来 组 成 入侵 防护 方案 * 
o 防火 墙 联动 的 响应 流程 : 黑客 闵 侵 让 通过 防火 墙 进入 网 络 访 交换 机 镜像 流量 给 


NIP 黑客 到 达 服 务 器 ?开始 入 侵 ?> 同 时 NIP 得 到 镜像 流量 发 现 攻 击 行为 记录 入 侵 
行为 > NIP 联 动 防火 墙 > 防 淡 墙 进行 黑 名 单 配置 ?黑客 的 入 侵 被 阻 断 。 


配置 1DS 联 动 举例 


Switch IDC Server 


了 


6 


。 需求 : IDS 
o USG 设 备 与 iDS 设 备 联合 工作 ， 共 同 保护 内 部 网 络 安全 。 
o USG 设 备 与 DS 服务 器 的 认证 方式 和 认证 字 分 别 为 MD5 和 abcdef123。 
o USG 设 备 与 IDS 服 务 器 通过 30000 号 端口 进行 通信 。 
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配置 1DS 联 动 举例 


。 配置 IDS 服 务 器 IP 地 址 。 


。 使 能 统一 安全 网 关 IDS 联 动 功能 。 
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统一 安全 网 关上 配置 的 IDS 服 务 器 的 IP 地 址 后 端口 号 、 认 证 方式 和 认证 字 需 要 与 IDS 服 


务 器 上 的 配置 保持 一 致 。 N 
~ 
DO 


SS 
< 
SS 
~ 
RN 
~ 


畏 目录 


1， 网 络 攻击 介绍 
2. 防火墙 攻击 防范 通用 拉 术 
3， 防 火 墙 攻击 防范 应 用 分 析 
3.1 流 量 型 攻击 
3.2 扫 描 宽 探 攻击 
3.3 畸 形 报 文 攻击 
3.4 特 殊 报 文 攻击 
3.5 其 他 攻击 
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ARP 攻 击 防 范 


。 攻击 介绍 


o 攻击 者 通过 发 送 大 量 伪 造 的 ARP 请 求 、 应 答 报 文 攻击 网 络 设备 ， 主 要 有 
ARP 缓 冲 区 溢出 攻击 和 ARP 拒 绝 服务 攻击 两 种 。 ARP Flood 攻 击 
(ARP 扫 描 攻击 ) : 攻击 者 利用 工具 扫描 本 网 段 或 者 跨 网 段 主机 时 
网 络 设备 会 查找 ARP 表 项 ， 如 果 目 的 IP 地 址 的 MAC 地 址 不 存在 :那么 
必然 会 导致 ARP 模 块 向 上 层 软 件 发 送 大 量 的 ARP Miss 消 息 


。 处 理 方法 
9 配置 基于 接口 、 区 域 或 IP 的 ARP Flood 攻 击 防范 参数 ， 限 制 接口 上 每 秒 
ARP 报 文 的 总 数 。 
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ARP flood 攻 击 防范 配置 


。 防范 配置 


firewalldefendarp-floodenable 
。 配置 ARP Flood 攻 击 防范 参数 。 ~ 





Ey 
RN 
> 
A 
RN 
> 


SYN Flood 攻 击 防 范 


攻击 者 Server 
。 攻击 介绍 义 


o SYN Flood 攻 击 就 是 采用 源 地 址 伪造 的 方式 对 目标 主机 发 送 大 量 的 SYN 
报 文 ， 导 致 目标 主机 准 痪 。 
。 处 理 方法 
采用 TCP PROXY 的 方式 进行 SYN Flood 攻 击 防御 , ,其 基本 参数 就 是 需 
要 指定 对 那些 主机 进行 保护 ; 
反 向 源 探测 技术 ; 
目标 主机 进行 SYN 报 文 限 速 的 方式 进行 防御 和 
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。 使 用 限制 
无 限制 ， 但 是 需要 区 别 SYN FLOOD 和 SYN 报 文 扫 描 攻击 ，SYN FLOOD 攻 击 的 源 地 
址 是 伪造 的 。 而 SYN 报 文 扫 摘 探测 的 源 地址 是 真实 的 ， 而 目的 地 址 是 按照 一 定 规律 变化 的 。 


SYN FLOOD 攻 击 和 SYN 报 文 扫描 攻击 的 防御 方法 是 不 一 样 的 。SYN 报 文 扫描 攻击 可 
以 加 入 黑 名 单 ， 而 SYN FLOOD 攻 击 是 处 可 能 加 入 黑 名 单 。 


SYN FL0O0D 防 范 原 理 一 TcpProxy 技 术 


Client send TCP Syn 
没有 TCP 代 理 的 时 


ew | | severesponsesmAa 
的 过 程 


Client send TCP Syn 


启动 TCP 代 理 的 时 
仿 TCP 交 所 


的 过 程 
Fake Client Without Ack 
Real Client send Ack Firewall send TCP Syn for Client 


| Server response Syn Ack 
; 则 不 会 存在 这 个 回应 报 文 , 因此 | | 
| 攻击 报 文 会 被 防火 墙 丢 弃 | Firewall send Ack for Client a 


19.49.10.10 


2 @ EE 
192.168.0.1 
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TCPProxy 技 术 是 进行 Syn flood 防 御 的 关键 技术 。 


SYN FLOOD 防 范 原 理 一 TCP 反 向 源 探测 


SYN Flood 的 攻击 原理 是 攻击 者 使 用 伪造 的 IP 地 址 发 送 报 文 。 


防范 原理 : 当 设 备 接受 到 SYN 报 文 时 ， 会 对 源 IP 是 否 存 在 进行 探测 。 

o 如 果 源 IP 不 存在 ， 则 说 明 可 能 是 攻击 报 文 ， 将 其 予以 丢弃 。 

o ”如 果 源 IP 有 效 ， 则 将 正确 的 源 IP 地 址 加 入 白 名 单 ， 此 源 IP 地 址 的 TCP 报 文 直接 转发 。 以 
Client send TCP Syn 


启动 TCP 反 向 源 探 





























Firewall 回复 SYN-ACK 错 误 序列 号 
: 如 果 是 Tep 攻 击 |. -2 Real Client send RST 
i 
; 假冒 , 则 不 会 ,x 


| 存在 这 个 


























Firewall send TOP Syn for Client 


FTP server 
Firewall send Ack for Client 19.49.10.10 


2 @ EE 
192.168.0.1 
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县 2 


由 于 反 向 源 探测 机 制 不 受 会 话 表 是 否 成 功 建立 的 影响 ， 所 以 推荐 使 用 反 向 源 探 测 技术 
来 进行 SYN Flood 的 攻击 防范 。 如 果 必 须 使 用 CP 代 理 方 式 的 攻击 防范 ， 则 必须 开启 状 态 
仿 测 机 制 。 


人 
《LN 


SYN Flood 攻 击 防范 配置 


。 攻击 防范 配置 


o Syn flood 攻 击 防范 开关 
[USG] firewall defend syn-flood enable < 


o 基于 接口 进行 Syn flood 增 强 型 攻击 防范 
[USG] firewall defend syn-flood interface all [max-rate rate-value] [tcp-proxy { off | 


on}] 
[USG] firewall defend syn-flood interface Ethernet slot-number [max-rate ra ue] [tcp- 
proxy { auto | off | on }] 


[USG] firewall defend syn-flood interface GigabitEthernet We rate- 
value] [tcp-proxy { auto | off | on }] 


令 
[USG] firewall source-ip detect interface { interface-type int ber | all } [ alert- 
rate alert-rate-number ] [ max-rate max-rate-number ] 站 


firewall source-ip detect interfaceSfirewall defend synflood interface 可 以 同时 配置 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reservedk Page 33 NO HUAWEI 





。 Syn flood 攻 击 防范 配置 : 
[USG] firewall defend syn-flood enable  /W Syn flood 攻 击 防范 开关 
注意 : 
关闭 syn flood 攻 击 防范 功能 ， 为 Ungo firewall defend syn-flood enable ; 


缺 省 允许 通过 的 最 大 TCP 报 文 速 率 是 1000 包 / 秒 ， 自 动 启用 TCP 代 理 防 范 功 能 。 缺 省 
情况 下 ，syn flood 攻 击 防 范 功能 是 关闭 的 。 


。 基于 接口 进行 syn flood 增 强 型 攻击 防范 : 


其 中 : all， 对 于 防火墙 所 有 接口 使 能 syn flood 攻 击 防 范 。 rate-value ， 人 允许 通过 的 
TCP 报 文 速 率 ， 取 值 范围 为 1 一 65535， 缺 省 是 1000， 单 位 为 包 / 秒 。 


slot-number 六 接口 的 编号 。 auto ， 自 动 启 用 TCP-PROXY 防 范 功 能 ，tcp-proxy 缺 省 配 
置 。off,y 不 启用 TCP-PROXY 防 范 功 能 。on， 直 接 启 用 TCP-PROXY 防 范 功 能 。 


注意 : 
防 淡 墙 使 能 了 增强 型 syn flood 攻 击 防 范 ， 能 够 承受 120 万 包 / 秒 的 攻击 ; 


对 于 tcp-proxy， 指 定 为 auto 或 ff 时， 防火 墙 对 于 syn flood 攻 击 防范 是 通过 限制 报 文 
速率 的 方式 实现 ， 低 于 限制 报 文 速率 的 报 文 还 是 会 到 达 被 攻击 的 设备 。 对 于 tcp-proxy， 
指定 为 on 时 ， 防 火 墙 对 每 个 TCP 会 话 都 会 启用 TCP-PROXY 功 能 ， 攻 击 报 文 不 会 到 达 被 攻 
击 的 设备 ; 


一 般 推荐 的 允许 通过 TCP 报 文 速率 是 100 包 / 秒 。 可 以 根据 现场 应 用 灵活 改动 。 


SYN Flood 攻 击 防 沁 配置 (二) 


。 攻击 防范 配置 
o 基于 安全 域 进行 syn flood 攻 击 防范 
[USG] firewall defend syn-flood zone zone-name [max-rate & 
value] [tcp-proxy { auto | off | on }] 


zone-name: 被 保护 安全 区 域名 称 ， 人 人 

rate-value: 人 允许 通过 TCP 报 文 速率 ， 取 值 范围 为 1 Tea 000 
， 单 位 为 包 / 秒 ; 

auto: 自动 启用 TCP-PROXY 防 范 功能 ，tcp-proxy 

off: 不 启用 TCP-PROXY 防 范 功 能 ; 

on: 直接 启用 TCP-PROXY 防 范 功 能 。 
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。 基于 安全 域 进行 syn flood 攻 击 防 范 


[USG] firewall defend syn-flood zone zone-name [max-rate rote-vo/uel] 
[tcp-proxy { auto | off | on}] 


注意 : 


关闭 安全 域 syn flood 攻 击 防范 功能 ， 为 Undo firewall defend syn-flood zone 
[Zone-naomel; 


该 命令 用 于 保护 安全 区 域内 所 有 的 用 户 设备 ; 


对 于 tcp-proxy ,指定 为 quto 或 off 时 ， 防 火 墙 对 于 syn flood 攻 击 防范 是 通过 限制 
报 文 速率 的 方式 实现 ， 低 于 限制 报 文 速率 的 报 文 还 是 会 到 达 被 攻击 的 设备 ; 


对 于 tcp:proxy， 指 定 为 on 时 ， 防 火 墙 对 每 个 ITCP 会 话 都 会 户 用 TCP-PROXY 功 能 ， 
攻击 报 文 不 会 到 达 被 攻击 的 设备 。 


一 般 推荐 的 允许 通过 TCP 报 文 速率 是 1000 包 / 秒 ， 可 以 根据 现场 应 用 灵活 改动 。 


SYN Flood 攻 击 防 范 配 置 〈《 四 ) 


。 攻击 防范 配置 举例 





条 


Connection Flood 攻 击 防范 


==、 
TCP 全 连接 Server 


攻击 者 
。 攻击 介绍 
o 攻击 者 向 被 攻击 服务 器 发 送 大 量 的 请 求 ， 使 被 攻击 服务 器 产生 大 
量 链 接 而 不 能 受理 合法 用 户 的 请 求 。 
。 处 理 方 法 
o USG 统 计 用 户 向 服务 器 发 送 的 报 文 ， 如 果 在 设 定 的 时 间 间 隔 内 
用 户 发 送 的 报 文 少 于 设 定 的 阅 值 ， 则 认为 该 用 月 不 合法 ; 
o USG 统 计 用 户 和 服务 器 建立 的 链接 数 ， 如 果 在 设 定 的 时 间 间 隔 
内 用 户 建立 的 链接 数 大 于 设 定 的 阅 值 ,。 则 认为 该 用 户 不 合法 ; 
o USG 将 该 IP 地 址 加 入 黑 名 单 。 
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与 SYN Flood 不 同 ， TCP 全 连接 攻击 是 指 攻击 者 与 被 攻击 对 象 正常 建立 了 TCP 全 连接 ， 
但 是 却 没有 后 续 的 报 文 ， 占 用 被 攻击 者 的 资源 的 攻击 类 型 。 通 过 配置 防范 功能 ， 将 TCP 连 
接 建 立 后 不 继续 进行 报 文 交互 的 连接 作为 从 FE 常 连接 。 当 不 正常 连接 超过 阅 值 时 ， 对 其 进 
行 阻 断 。 


Connection Flood 攻 击 防 范 配置 


。 防范 配置 
firewall defend tcp-illeage-session enable 
e。 配置 Connection Flood 攻 击 防 范 参数 
firewall defend tcp-illeage-session packet 1 interval 15 


firewall defend tcp-illeage-session number 8 interval 15 


firewall defend tcp-illeage-session blacklist-timeout 60S= 
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执行 命令 firewall defend tcp-illegal-session'packet packet-number [ interval interval ]， 
设置 阻 断 异常 连接 的 标准 。 

当 一 条 会 话 建立 后 ， 在 设 定 的 interval 时 间 内 ， 如 果 匹 配 该 条 会 话 的 数据 包 数 小 于 
packet-number， 则 认为 该 会 话 为 异常 会 语 。 

interval 为 可 选 参数 ， 如 果 不 配 置 ,4 则 按 缺 省 值 30 秒 计算 。 

执行 命令 firewall defend tep-illegal-session number session-number [ interval 
interval ]， 设 置 将 攻击 源 加 入 黑 名 单 ， 直 接 丢 弃 攻 击 源 的 所 有 报 文 的 标准 。 

当 某 IP 地 址 在 interyal 时 间 内 发 起 的 异常 会 话 数 超过 session-number 后 ， 设 备 认为 该 IP 
地 址 在 进行 全 连接 攻击 ， 将 该 IP 地 址 加 入 黑 名 单一 段 时 间 。 

interval 为 可 选 参数 ， 如 果 不 配 置 ， 则 按 缺 省 值 15 秒 计算 。 

执行 命令 firewall.defend tcp-illegal-session blacklist-timeout time-out-value ， 配 置 将 


攻击 者 加 入 墨 名 单 启 老化 时 间 。 

当 菜 个 IP 被 加 入 到 黑 名 单 之 后 ， 需 要 经 过 老化 时 间 之 后 ， 才 会 被 从 黑 名 单 中 删除 ， 该 
IP 才 可 以 继续 通信 。 

缺 省 情况 下 ， 将 TCP 全 连接 扫描 攻击 者 加 入 黑 名 单 的 时 间 为 20 分 钟 ， 在 这 段 时 间 里 ， 
攻击 者 发 送 的 报 文 将 被 丢弃 。 用 户 也 可 以 根据 实际 需求 ， 调 整 黑 名 单 老化 时 间 。 


1CMPZUDP Flood 攻 击 防 


UDP/ICMP 
攻击 者 Server 从 


。 攻击 介绍 
o 短 时 间 内 向 特定 目标 发 送 大 量 的 UDPICMP 报 文 ， 致 使 息 标 系统 
负担 过 重 而 不 能 处 理 合法 的 连接 。 
。 处 理 方法 
o 检测 通 向 特定 目的 地 址 的 UDP 报 文 速率 ， 当 速度 粒 过 设 定 阐 值 上 
限时 ， 设 定 攻击 标志 并 做 Car 处 理 ， 对 攻击 返 时 日志。 当 速 率 低 于 
设 定 的 盖 值 下 限 ， 取 消 攻 击 标志 ， 人 允 评 所 有 接 文通 向 特定 目的 地 
址 。 As 
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。 使 用 限制 


无 使 用 限制 ， 注 意 配 置 正确 的 目的 保护 地 址 。ICMP/UPP 是 无 连接 的 协议 ， 因 此 不 能 提 
供 类 似 SYN FL00D 代 理 方式 的 防御 方法 。 


ICMP/UDP Flood 攻 击 防范 配置 


e 防范 配置 
Udp/lcmp Flood 攻 击 防 范 配置 步骤 : 
[USG] firewall defend udp-flood zone trust max-rate 3000 a 


[USG] firewall defend icmp-flood interface GigabitEthernet 


max-rate 500 人 人 


[USG] firewall defend udp-flood interface Gigabit /0/0 


max-rate 1000 


[USG] firewall defend udp-flood fingerprint-hit désiiniation-max- 
rate 6 
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firewall defend udp-flood fingerprint-hits{ source-max-rate [ source-max-rate- 
value ] | destination-max-rate [ destination-max-rate-value ] } 


source-max-rate-value 指定 一 秒 内 基于 源 IP 地 址 的 UDP 报 文 指 纹 匹 配 次 数 。 

整数 形式 ， 取 值 范 围 为 1~4024, 电 单位 为 次 。 缺 省 值 为 3 次 。 
destination-max-rate-valtie 指定 一 秒 内 基于 目的 IP 地 址 的 UDP 报 文 指 纹 匹 配 次 数 。 
整数 形式 ， 取 值 范围 为 fx1024， 单 位 为 次 。 缺 省 值 为 5 次 。 


和 


HTTP _ Flood 攻击 攻击 防范 


2 
末 
http 请 求 


攻击 者 Web Server 4 


。 攻击 介绍 
o 攻击 者 直接 或 者 间接 向 目标 服务 器 发 起 大 量 的 HTTP 报 文 ， 导 臻 服务 器 消 
耗 过 重 ， 无 法 响应 正常 的 请 求 ， 严 重 时 会 导致 主干 链 路 拥堵 
。 处 理 方法 
= 通过 在 接口 对 HTTP 报 文 进行 速率 限制 ， 实 现 HTTP 生 loog 的 攻击 防范 功 
能 。 
o 针对 HTTP Flood 的 防范 可 以 设置 重 定向 检测 功能 。 将 HTTP 报 文 速率 超 
过 告警 闭 值 的 访问 者 重 定向 至 一 个 虚拟 页 面 4 
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HTTP Flood 攻 击 是 指 攻击 者 直接 或 者 间接 向 目标 服务 器 发 起 大 量 的 HTTP 报 文 ， 导 致 
服务 器 消耗 过 重 ， 无 法 响应 正常 的 请 求 。 严重 时 会 导致 主干 链 路 拥塞 。 通 过 在 接口 对 
HTTP 报 文 进行 速率 限制 ， 实 现 HTTP Flood 的 攻击 防范 功能 。 

设备 的 防范 原理 是 对 接收 的 HTTR 报 闫 速率 进行 限制 ， 当 接收 的 HTTP 报 文 速率 超过 设 
定 的 阐 值 时 ， 则 视 为 攻击 ， 并 给 予 丢 基 |。 

针对 HTTP Flood 的 防范 可 以 设置 重 定向 检测 功能 。 将 HTTP 报 文 速率 超过 告警 阐 值 的 
访问 者 重 定向 至 一 个 虚拟 页 面 和 如果 访问 者 合法 ， 它 将 做 出 合理 回应 ， 如 果 访 问 者 非法 则 

会 做 回应 。 以 此 来 判断 HTKP 报 文 的 来 源 是 否 真实 存在 。 


HTTP Flood 攻 击 防 范 配置 


防范 配置 
firewall defend http-flood enable 
配置 基于 接口 的 HTTP Flood 攻 击 防范 参数 


firewall defend http-flood source-detect interface { interfa 


interface-number | all } [ alert-rate alert-rate-number ] [ 


max-rate-number ] ~ 
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执行 命令 firewaqll defend http-flood enaBle$ 开启 HTTP Flood 攻 击 防范 功能 。 





执行 命令 firewaqll defend http-flood soVrce-detect interface { nterface-1ype 
ntertftace-number | qll } [ alert-rate /erftoate-numpber | [ max-rate mox-/ote- 
number]， 配 置 基于 接口 的 HTTP Floed 攻 击 防范 参数 。 








可 选 : 执行 命令 firewall source-ip detect aging-time /feryg/， 配 置 白 名 单 老化 时 
间 。 


重 定向 检测 成 功 的 IP 地 址 会 被 加 入 到 白 名 单 ， 该 IP 地 址 发 送 的 报 文 将 在 老化 时 间 之 内 
被 直接 转发 ， 不 再 继续 进行 检测 。 缺 省 情况 下 ， 白 名 单 的 老化 时 间 为 1800 秒 。 


流量 型 攻击 Web 配 置 


而 置 SYN Flood 攻 击 防范 
防范 功能 启用 
TCP 最 大 报 文 段 长 度 1460 <100-1460> 字 节 


电 当 设备 开启 SYN Flood 区 击 防范 TCP 代 理 功能 ， 而 网 络 中 设备 接口 存在 较 小 MTUB， 请 设置 
TCP 最 大 报 文 段 长 度 值 小 于 M TCP 最 大 报 文 自 长 度 设置 过 大 ， 部 分 TCP 北 务 可 能 





@ 启 用 对 应 的 功能 ， 设 置 全 局 参 


基于 源 挥 到 (推荐 配 秆 》 基于 TCP 代 理 (可 选 村 置 ) 


后 和 建 等 1* 介 亲 网 全 局 设置 


一 加 设置 具体 从 参数 





攻击 报 文 处 理 方式 





丢弃 








全 目录 


1， 网 络 攻击 介绍 

2 防火墙 攻击 防 艺 通 

3， 防 火 墙 攻击 防范 应 
3.1 流 量 型 攻击 
3.2 扫 描 帘 探 攻击 
3.3 畸 形 报 文 攻击 
3.4 特 殊 报 文 攻击 
3.5 其 他 攻击 
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地 址 扫 摘 攻 击 防 学 


。 攻击 介绍 
o 运用 ping 程 序 探测 目标 地 址 ， 以 用 来 确定 目标 系统 是 否 存活 的 标识 。 也 
可 使 用 TCP/UDP 报 文 对 目标 系统 发 起 探测 (如 TCP ping) 。 
。 处 理 方法 
o 检测 进入 防火 墙 的 ICMP、TCP 和 UDP 报 文 ， 由 该 报 文 的 源 IP 地 址 获取 
统计 表 项 的 索引 ， 如 目的 IP 地 址 与 前 一 报 文 的 IP 地 址 不 同 ， 则 将 表 项 中 
的 总 报 文 个 数 增 1。 如 在 一 定时 间 内 报 文 的 个 数 达 到 设置 的 阅 信 ， 记 录 
日 志 ， 并 根据 配置 决定 是 否 将 源 I|P 地 址 自动 加 入 黑 名 单 4 
。 攻防 配置 
[USG] firewall zone untrust CC 和》 
[USG-zone-untrust] statistic enable ip outzone 
[USG] firewall defend ip-sweep max-rate 1000 人 


[USG] firewall defend ip-sweep blacklist-timeout 5% 
[USG] firewall defend ip-sweep enable A 入 \ 
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。 使 用 限制 


扫描 类 攻击 的 源 地 址 是 真实 的 ， 因 此 可 以 采用 直接 加 入 黑 名 单 的 方法 进行 防御 。 扫 描 
类 攻击 的 扫描 速度 决定 了 攻击 防范 的 有 效 性 》 蠕虫 病毒 爆发 的 时 候 ， 伴 随 者 一 般 就 是 地 址 
扫描 攻击 。 


【命令 

firewall defend ip-sweep 人 max-rate rate-number | blacklist-timeout interval | 
enable } 

undo firewall defend ip-sweep { max-rate | blacklist-timeout | enable } 

【参数 】 


max-rate rafe-iumber: 设 定 从 同一 源 地 址 向 外 发 送 报 文 的 目的 地 址 变化 速率 的 阔 值 。 
rate-number 默认 值 为 4000 包 / 秒 ， 取 值 范围 为 1 包 / 秒 一 10,000 包 / 秒 。 


blacklist-timeout interva/: 将 攻击 源 IP 加 入 黑 名 单 并 设 定 其 在 黑 名 单 内 的 保持 时 间 ， 
interval 取 值 范围 为 {min~1000min， 默 认 值 为 Omin， 即 不 加 入 黑 名 单 。 


enable: /使 能 地 址 扫描 攻击 防范 功能 开关 。 
【举例 】 
# 打开 地 址 扫描 攻击 防范 功能 开关 ， 设 定 扫 描 速率 的 阅 值 为 1000。 


[USG] firewall defend ip-sweep max-rate 1000 


扫描 瑞 探 攻击 Web 配 置 


配置 扫 独 类 攻击 防范 
回 地 址 扫描 


最 大 扫描 天 率 4 <1-10000> 包 了 钞 
En 
@ 设 置 对 应 的 参 
委 据 4 <1-10000> 包 名 


i < 


启用 相应 的 攻击 防范 类 宁 | 





攻击 报 文 处 理 方式 





丢弃 v 











Wb huawel 





亲口 扫 搬 攻击 防 沁 


。 攻 击 介绍 
o Port Scan 攻 击 通 常 使 用 一 些 软 件 ， 向 大 范围 的 主机 的 一 系列 TCP/UDP 
端口 发 起 连接 ， 根 据 应 答 报 文 判 断 主机 是 否 使 用 这 些 端 口 提供 服务 。 
。 处 理 方法 
o 检测 进入 防火 墙 的 TCP 报 文 或 UDP 报 文 ， 由 该 报 文 的 源 IP 地 址 获取 统计 
表 项 的 索引 ， 如 目的 端口 与 前 一 报 文 不 同 ， 将 表 项 中 的 报 文 个 数 增 1。 
如 果 报 文 的 个 数 超过 设置 的 阅 值 ， 记 录 日 志 ， 并 根据 配置 决定 是 否 将 源 
IP 地 址 加 入 黑 名 单 。 
。 攻 防 配置 


[USG] firewall zone untrust (人 
[USG-zone-untrust] statistic enable ip outzone 
[USG] firewall defend port-scan max-rate 1000 人 


[USG] firewall defend port-scan blacklist-timeout S 
[USG] firewall defend port-scan enable AP 
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。 【命令 】 
firewall defend port-scan { max-rate /ro7e-numpber | blacklist-timeovut /rervo/ | 
enable } 


undo firewall defend port-scan { max-rate | blacklist-timeout | enable } 
【参数 】 


maqx-rqte /ofe-numbeF 设 定 从 同一 源 地 址 向 外 发 送 报 文 的 目的 端口 变化 速率 的 阅 值 。 
/ofe-numpber 默 认 值 为 4090 次 Y 秒 ， 取 值 范 围 为 1 次 / 秒 一 10,000 次 / 秒 。 


blacklist-timeout/ferva/: 将 攻击 源 IP 加 入 黑 名 单 并 设 定 其 在 黑 名 单 内 的 保持 时 间 ， 
jhnterv9/ 取 值 范围 为 1min~1000min， 默 认 值 为 Omin， 即 不 加 入 黑 名 单 。 


enable: 使 能 端 昌 扫描 攻击 防范 功能 开关 。 
【举例 】 
# 打开 端 玉 扫描 攻击 防范 功能 开关 ， 设 定 扫描 速率 的 阐 值 为 1000。 
<USG> system-view 
[usG] fiiewall defend port-scan enable 


[usG] firewall defend port-scan max-rate 1000 


畏 目录 


1， 网 络 攻击 介绍 
2. 防火墙 攻击 防范 通用 拉 术 
3， 防 火 墙 攻击 防范 应 用 分 析 
3.1 流 量 型 攻击 
3.2 扫描 时 探 攻 击 
3.3 畸 形 报 文 攻击 
3.4 特 殊 报 文 攻击 
3.5 其 他 攻击 
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SMURF 攻 击 防 范 


NS 
- 
ED 、 


攻击 者 ICMP Request 


。 攻 击 介绍 6 


o Smurf 攻 击 方法 是 发 ICMP 请 求 ， 该 请 求 包 的 目标 地 址 设置 为 受害 网 络 
的 广播 地 址 ， 这 样 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 作出 答复 ， 
导致 网 络 阻塞 。 
。 处 理 方 法 
o 检查 ICMP 应 答 请 求 包 的 目的 地 址 是 否 为 子 网 广播 地 扯 或 子 网 的 网 络 地 
址 ， 如 是 ， 则 直接 拒绝 ， 并 将 攻击 记录 到 日 志 。 
。 攻防 配置 
firewall defend smurf enable AR 
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Smurf 攻 击 方法 是 发 ICMP 应 答 请 求 ， 该 请 求 包 的 目标 地 址 设置 为 受害 网 络 的 广播 地 址 ， 
这 样 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 作出 答复 ， 导 致 网 络 阻塞 。 高 级 的 Smurf 攻 击 ， 
主要 用 来 攻击 目标 主机 。 方 法 是 将 上 述 ICMP 应 答 请 求 包 的 源 地 址 改 为 受害 主机 的 地 址 ， 
最 终 导 致 受害 主机 雪 毅 。 

使 用 限制 


由 于 路 由 器 等 三 层 设 备 本 身 就 不 会 转发 目的 地 址 是 广播 地 址 的 报 文 ， 因 此 SMURF 攻 
击 在 网 络 上 很 难 形成 攻击 。 在 防火 墙 上 ， 检 查 SMURF 攻 击 必 须要 求 被 攻击 网 络 是 直接 连 
接 到 防火 墙 上 。 


LAND 攻 击 防 范 


攻击 者 Server & 


。 攻击 介绍 
o 把 TCP 的 源 地 址 和 目标 地 址 都 设置 成 某 一 个 受害 者 的 IP 地 址 sj 这 将 导 
致 受害 者 向 它 自己 的 地 址 发 送 SYN-ACK 消 息 ， 结 果 这 个 地 址 汉 发 回 
ACK 消 息 并 创建 一 个 空 连接 ， 占 用 系统 资源 或 使 目的 主 桃 贿 汝 。 
。 处 理 方法 
o 对 每 一 个 的 IP 报 文 进行 检测 ， 若 其 源 地址 与 目的 地 址 相同 ， 或 者 源 地 址 
为 环 回 地 址 (127.0.0.1)， 则 直接 拒绝 ， 并 将 攻击 记录 到 日 志 。 
。 攻防 配置 
firewall defend land enable AN 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserveds Page 50 2 HUAWEI 





所 谓 Land 攻 击 ， 就 是 把 TCP SYN 包 的 源 地 址 和 目标 地 址 都 设置 成 菜 一 个 受害 者 的 IP 
地 址 。 这 将 导致 受害 者 向 它 自 己 的 地 址 发 送 SYN-ACK 消 息 ， 结 果 这 个 地 址 又 发 回 ACK 消 
息 并 创建 一 个 空 连接 ， 每 一 个 这 样 的 连接 都 将 保留 直到 超时 掉 。 各 种 受害 者 对 Land 攻 击 反 
应 不 同 ， 许 多 UNIX 主 机 将 崩溃 ，NT 主 机 会 变 的 极其 缓慢 。 


使 用 限制 : 没有 限制 ， 对 性 能 也 基本 无 影响 ， 对 网 络 也 不 会 造成 不 良 影响 。 


Fraggle 攻 击 防范 


。 攻击 介绍 
o Fraggle 类 似 于 Smurf 攻 击 ， 使 用 UDP 应 答 消 息 而 非 ICMP。UDP 端 口 
7(ECHO) 和 端口 19(Chargen) 在 收 到 UDP 报 文 后 ， 大 量 无 用 的 应 答 报 文 ， 
占 满 网 络 带 宽 。 & 
。 处 理 方法 
o 检查 进入 防火 墙 的 UDP 报 文 ， 若 目的 端口 号 为 7 或 19， 则 直接 拒绝 ， 并 将 
攻 击 记 录 到 日 志 ， 否 则 允许 通过 。 
。 攻防 配置 


firewall defend fraggle enable 
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Fraggle 类 似 于 Smurf 攻 击 ， 只 是 使 用 UDP 应 答 消 息 而 非 ICMP。UDP 端 口 7 (ECHO) 
和 端口 19 (Chargen) 在 收 到 UDP 报 文 后 ， 都 会 产生 回应 。 在 UDP 的 7 号 端口 收 到 报 文 后 ， 
会 回应 收 到 的 内 容 ， 而 UDP 的 19 号 端口 在 收 到 报 文 后 ， 会 产生 一 串 字 符 流 。 它 们 都 同 
ICMP 一 样 ， 会 产生 大 量 无 用 的 应 答 报 文 \ 占 满 网 络 带 宽 。 攻击 者 可 以 向 子 网 广播 地 址 发 
送 源 地 址 为 受害 网 络 或 受害 主机 的 BP 包 ， 端 口号 用 7 或 19。 子 网 络 启 用 了 此 功能 的 每 个 
系统 都 会 向 受害 者 的 主机 作出 响应 ,S 队 而 引发 大 量 的 包 ， 导 致 受害 网 络 的 阻塞 或 受害 主机 
的 骨 溃 ; 子 网 上 没有 启动 这 些 功 能 的 系统 将 产生 一 个 ICMP 不 可 达 消 息 ， 因 而 仍然 消耗 带 
宽 。 也 可 将 源 端 口 改 为 ChergSeAh， 目 的 端口 为 ECHO ， 这 样 会 自动 不 停 地 产生 回应 报 文 ， 
其 危害 性 更 大 。 


IP Fragment 攻 击 


。 攻击 介绍 
o IP 报 文中 有 几 个 字段 与 分 片 有 关 : DF 位 、MF 位 ，Fragment Offset 、 
Length 。 如 果 上 述 字段 的 值 出 现 矛 盾 ， 而 设备 处 理 不 当 ， 会 对 设备 造成 
一 定 的 影响 ， 甚 至 瘫痪 。 以 
。 处 理 方 法 
o 检查 IP 报 文中 与 分 片 有 关 的 字段 (DF 位 、MF 位 、 片 偏 置 量 《 总 长 度 ) 是 
否 以 下 矛盾 ， 如 发 现 含 有 如 下 矛盾 ， 则 直接 丢弃 。 将 攻击 记录 到 上 日志: 
s。 DF 位 为 1， 而 MF 位 也 为 1 或 Fragment Offset 不 为 03 
a DF 位 为 0， 而 Fragment Offset + Length > 65535。 


。 攻防 配置 
[USG]firewall defend ip-fragment enable 《™ . 
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。 攻击 介绍 
IP 报 文中 有 几 个 字段 与 分 片 有 关 : DF 位 、MF 位 ,Fragment 0ffset 、Length 。 
如 果 上 述 字 段 值 出 现 矛 盾 ， 而 设备 处 理 不 当 ， 会 对 设备 造成 一 定 的 影响 ， 甚 至 瘫痪 。 
矛盾 的 情况 有 : 
DEF 位 被 置 位 ， 而 ME 位 同时 被 置 位 或 Fragment 0ffset 不 为 0; 
DF 位 为 0， 而 Fragment 0ffset + Length > 65535。 
。 处 理 方法 
若 分 片 报 文 的 目的 地 址 为 本 防火 墙 ， 则 直接 丢弃 ; 
检查 IP 报 文惠 与 分 片 有 关 的 字段 (DF 位 、 呈 位 、 片 偏 置 量 、 总 长 度 ) 是 否 以 下 矛盾 : 
DF 位 为 1,, 而 MF 位 也 为 1 或 Fragment 0ffset 不 为 0; 
DF 位 为 0 而 FYagment 0ffset + Length > 65535。 
如 发 现 含 有 (1) 或 (2) 错误 的 IP 分 片 报 文 ， 则 直接 丢弃 。 将 攻击 记录 日 志 。 


条 


IP spoofing 攻 击 防 范 


。 攻击 介绍 
o 为 了 获得 访问 权 ， 或 隐藏 入 侵 者 的 身份 信息 ， 入 侵 者 生成 带 有 伪造 源 
地 址 的 报 文 。 
。 处 理 方 法 
o 检测 每 个 接口 流入 的 IP 报 文 的 源 地 址 与 目的 地 址 ， 并 对 报 文 的 源 地 址 
反 查 路 由 表 ， 入 接口 与 以 该 IP 地 址 为 目的 地 址 的 最 佳 出 接口 不 相同 的 
IP 报 文 被 视 为 IP Spoofing 攻 击 ， 将 被 拒绝 ， 并 进行 日 志 记录 。 
。 攻防 配置 


firewall defend ip-spoofing enable 
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。 IP Spoof 


攻击 介绍 : 为 了 获得 访问 权 ， 入 侵 者 生成 一 个 带 有 伪造 源 地 址 的 报 文 。 对 于 使 
用 基于 IP 地 址 验证 的 应 用 来 说 ， 此 攻击 方法 可 以 导致 未 被 授权 的 用 户 可 以 访问 目的 
系统 ， 甚 至 是 以 root 权 限 来 访问 。 即 使 响应 报 文 不 能 达到 攻击 者 ， 同 样 也 会 造成 对 被 
攻击 对 象 的 破坏 。 这 就 造成 IP Spoofing 攻 击 。 


Ping of Death 攻 击 


。 攻击 介绍 
o_ |P 报 文 的 长 度 字段 为 16 位 ， 这 表明 一 个 IP 报 文 的 最 大 长 度 为 65535。Ping of Death， 利 用 一 
些 尺 寸 超 大 的 ICMP 报 文 对 系统 进行 的 一 种 攻击 。 
。 处 理 方 法 
o 检测 ICMP 请 求 报 文 长 度 是 否 超过 65535KB， 若 超过 丢弃 报 文 并 记录 日 志 。 X 
。 攻防 配置 
[USG] firewall defend ping-of-death enable NU 


DATA 
20 IP ”DATA 


_20 4 
Offset0 Flag MF [20T 1480 | 让 


BATA 

Offset 1480 Flag MF why 
Offset2960 由 

Flag MF DY Flae MF 


D ®©ffset 4440 
Offsef65120 Flag LastFragment 


Offset66600 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserveds Page 54 2 HUAWEI 





Ping of Death: 对 于 ICMP ECHO Request 报 文 ， 如 果 数 据 长 度 大 于 65508， 就 会 使 
ICMP 数 据 + 1P 头 长 度 (20) +1CMP 头 长 度 \(8)S> 65535。 对 于 有 些 路 由 器 或 系统 ， 在 接收 
到 一 个 这 样 的 报 文 后 ， 由 于 处 理 不 当 , 答 造 成 系统 崩溃 、 死 机 或 重启 。 


特征 : ping 报 文 全 长 超过 65535 ; 

目的 : 使 被 攻击 设备 因 处 理 不 当 而 死机 ; 

配置 : firewall defend ping-ofsgeath enable ; 

原理 : 检查 报 文 长 度 如 果 最 后 分 片 偏 移 量 和 本 身长 度 相 加 超过 65535， 丢 弃 该 分 片 。 








TCP Flag 攻 击 


。 攻击 介绍 


o TCP 报 文 包含 6 个 标志 位 : URG、ACK、PSH、RST、SYN、FIN ， 不 同 
的 系统 对 这 些 标志 位 组 合 的 应 答 是 不 同 的 ， 可 用 于 操作 系统 探测 。 


。 处 理 方法 X 


o 处 理 方法 : 检查 TCP 报 文 的 各 个 标志 位 ， 若 出 现 
" 6 个 标志 位 全 为 1 或 6 个 标志 位 全 为 0; 


a SYN 和 FIN 位 同时 为 1; syn 和 rst 同 时 为 1; fin 和 ui 奖 同 时 为 1; rst 和 fin 
同时 为 1; 


。 直接 丢弃 满足 以 上 任 一 条 件 的 报 文 ， 并 记录 日 志 。 
。 攻防 配置 


[USGI]firewall defend tcp-flag enable Am 
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。 攻击 介绍 


TCP 报 文 包含 6 个 标志 位 : URG、ACK、PSH、RST、SYN、FIN ,不 同 的 系统 
对 这 些 标志 位 组 合 的 应 答 是 不 同 的 : 6 个 标志 全 部 为 1， 也 就 是 圣诞 树 攻击 ; 6 个 标志 
全 部 为 0， 如 果 端 口 是 关 闭 的 ， 会 使 接收 方 应 答 一 个 RST | ACK 消 息 。 而 对 于 一 个 开 
放 端 口 ，Linux 和 UNIX 机 器 不 会 应 答 ， 而 Windows 机 器 将 回答 RST | ACK 消 息 。 这 可 
用 于 操作 系统 探测 。 


不 管 端口 是 打开 还 是 关闭 SSAGK 与 除 RST 外 的 其 它 任何 一 个 状态 位 组 合 在 一 起 ， 
都 会 引起 一 个 还 没有 发 送 请 求 的 接收 方 的 一 个 RST 应 答 ， 这 可 用 于 探测 主机 的 存在 。 
不 管 端口 是 打开 还 是 关闭 ，SYN | FIN | URG 会 让 接收 方 发 送 一 个 RST | ACK 应 答 
这 可 用 于 探测 主机 的 存在 。 


处 理 方 法 

检查 TCP 报 文 的 各 个 标志 位 ， 若 出 现 : 

6 个 标志 位 全 为 1 ; 

6 个 标志 位 全 为 0; 

SYN 和 FIN 位 同时 为 1; 

直接 丢弃 满足 以 上 任 一 条 件 的 报 文 ， 并 记录 日 志 。 


Tear _ Drop 攻击 


。 攻击 介绍 TEAR 


o Teardrop 攻 击 利用 在 TCP/IP 堆 栈 中 信 
任 IP 碎 片 报 文 头 所 包含 的 信息 来 实现 
攻击 。IP 报 文通 过 MF 位 、Offset 字 段 
、Length 字 段 指 示 该 分 段 所 包含 是 原 IP PING DATA 
包 哪 一 段 信息 ， 某 些 TCPIP 在 收 到 “NORMALE20 国 
含有 重 亚 偏 移 伪造 分 段 时 将 骨 溃 。 Offset 0 20 [©® fems 

。 处 理 方法 offssR1480 

o 缓存 分 片 信息 ， 每 一 个 源 地 址 、 目 的 地 址 、 分 片 ID 相 同 的 为 一 组 s、 最 大 支持 组 
存 10000 组 分 片 信息 。 在 分 片 缓存 的 组 数 达 到 最 大 时 ， 如 果 后 续 分 片 报 文 要 求 建 
立新 组 ， 则 直接 丢弃 。 


。 攻防 配置 
[USG]firewall defend teardrop enable Am 


9 
Offset 500 
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。 攻击 介绍 


Teardrop 攻 击 利用 那些 在 TCP/IP 堆 栈 实现 让 信任 IP 碎 片 中 的 报 文 头 所 包含 的 信息 来 实 
现 自己 的 攻击 。IP 报 文中 通过 MF 位 、Offsei 字 段 、Length 字 段 指示 该 分 段 所 包含 的 是 原 包 
的 哪 一 段 的 信息 ， 某 些 TCP/IP 在 收 到 含有 重要 偏 移 的 伪造 分 段 时 将 崩溃 。 

。 处 理 方法 

缓存 分 片 信息 ， 每 一 个 源 地 址 S 自 的 地 址 、 分 片 ID 相同 的 为 一 组 ， 最 大 支持 缓存 10000 

组 分 片 信息 。 在 分 片 缓存 的 组 数 达 到 最 大 时 ， 如 果 后 续 分 片 报 文 要 求 建立 新 组 ， 则 直接 和 


弃 。 


WinNuke 攻 击 防 范 


。 攻击 介绍 
o WinNuke 攻 击 通常 向 装 有 Windows 系 统 的 特定 目标 的 NetBIOS 端 口 
(139) 发 送 OOB (out-of-band) 数据 包 ， 引 起 一 个 NetBIOS 片 断 重 
靶 ， 致 使 已 与 其 他 主机 建立 连接 的 目标 主机 崩溃 。 还 有 ”种 是 GMA 


片 报 文 ， 一 般 情 况 下 ，IGMP 报 文 是 不 会 分 片 的 ， 所 以 ， 不 少 系 统 对 
IGMP 分 片 报 文 的 处 理 有 问题 。 
。 处 理 方法 
o WinNuke 攻 击 1 检测 数据 包 目 的 端口 是 否 为 139， 并 县 检查 TCP-URG 位 
是 否 被 设置 ; 
o WinNuke 攻 击 2 检测 进入 的 IGMP 报 文 是 否 为 分 片 报 苑 ,人 如 是 分 片 报 文 ， 
则 直接 丢弃 。 
。 攻防 配置 
firewall defend winnuke enable A 入 \ 
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WinNuke 攻 击 通常 向 装 有 Windows 系 统 的 特定 目标 的 NetBIOS 端 口 (139) 发 送 OOB 
(out-of-band) 数据 包 ， 引 起 一 个 NetBI@S 卢 断 重 到 ， 致 使 已 与 其 他 主机 建立 连接 的 目标 
主机 衣 溃 。 还 有 一 种 是 IGMP 分 片 报 文 气 一般 情况 下 ，IGMP 报 文 是 不 会 分 片 的 ， 所 以 ， 不 
少 系 统 对 IGMP 分 片 报 文 的 处 理 有 问题 。 如 果 收 到 IGMP 分 片 报 文 ， 则 基本 可 判定 受到 了 攻 
击 。 


扫描 声 探 攻击 Web 配 置 


际 置 网 形 报 文 类 攻击 防范 


防范 功能 全 部 启用 
P 炊 该 区 击 防 范 IP 分 片 报 文 权利 
Teardrop 允 击 防范 Smurf 必 击 防范 
Ping of Death 攻 击 防范 Fraggle 攻 击 防范 
WinNuke 欢 击 防范 Land 欢 击 防区 
TCP 报 文 标志 合法 性 检 列 ARP 其 注 区 击 防范 
UDP 短 头 报 文 攻击 防范 





攻击 报 文 处 理 方式 


天 计 。 贺 





畏 目录 


1， 网 络 攻击 介绍 
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3.2 扫描 时 探 攻 击 
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超大 1CMP 报 文 攻 击 防 范 


。 攻击 介绍 
o 超大 ICMP 报 文 攻击 是 指 利用 长 度 超大 的 ICMP 报 文 对 目标 系统 进行 攻击 。 
对 于 有 些 系统 ， 在 接收 到 超大 ICMP 报 文 后 ， 由 于 处 理 不 当 ， 会 造成 系 
统 骨 溃 、 和 死机 或 重启 。 以 
。 处 理 方 法 
o 用 户 可 以 根据 实际 网 络 需 要 配置 允许 通过 的 ICMP 报 文 的 最 大 长 度 s 当 
实际 ICMP 报 文 的 长 度 超过 该 值 时 ， 防 火 墙 认为 发 生 了 超 太 ICMP 报 文 攻 
击 ， 将 丢弃 该 报 文 。 
。 攻防 配置 
firewall defend large-icmp enable S 
firewall defend large-icmp max-length [ length ] 人 NS 
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。 配置 步骤 : 


已 


在 用 户 视图 下 执行 命令 system-view, 进入 系统 视图 。 
执行 命令 firewall defend large-icmp enable， 开 启 超 大 ICMP 报 文 攻击 防范 功能 。 


执行 命令 firewall defend large-iempymax-length [ length ]， 配 置 超大 ICMP 报 文 攻击 防 
参数 。 如 果 没 有 指定 length 人 参数 ， 缺 省 值 为 4000 字 节 。 


ICMP 个 可 达 报 文 攻击 防 学 


。 攻击 介绍 
o 不 同 的 系统 对 ICMP 不 可 达 报 文 的 处 理 方式 不 同 ， 有 的 系统 在 收 到 网 络 或 主机 不 
可 达 的 ICMP 报 文 后 ， 对 于 后 续 发 往 此 目的 地 址 的 报 文 直接 认为 不 可 达 ， 从 而 所 
断 了 目的 地 与 主机 的 连接 。 攻 击 者 利用 这 一 点 ， 伪 造 不 可 达 ICMP 报 文 ， 区 
害 者 与 目的 地 的 连接 ， 造 成 攻击 。 
。 处 理 方法 
o 启动 ICMP 不 可 达 报 文 攻 击 防范 功能 ， 防 火 墙 对 ICMP 不 可 达 报 文 进 行 委 痉 并 记录 
攻击 日 志 。 
。 攻防 配置 
firewall defend icmp-unreachable enable A 
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。 配置 步骤: 
在 用 户 视图 下 执行 命令 system-view, 进入 系统 视图 。 
执行 命令 firewall defend icmp-unreachable enable， 开 启 ICMP 不 可 达 报 文 攻击 防范 


Tracert 报 文 攻 击 防范 


。 攻击 介绍 
o Tracert 报 文 攻击 是 攻击 者 利用 TTL 为 0 时 返回 的 ICMP 超 时 报 文 ， 和 达到 
目的 地 址 时 返回 的 CMP 端 口 不 可 达 报 文 来 发 现 报 文 到 达 目 的 地 所 经 过 
的 路 径 ， 它 可 以 帘 探 网 络 的 结构 。 人 
。 处 理 方法 
= 配置 Tracert 报 文 攻击 防范 就 是 对 于 检测 到 的 超时 的 ICMP 报 文 或 UpP 报 
文 ， 或 者 目的 端口 不 可 达 报 文 ， 给 予 丢 弃 。 
。 攻防 配置 


firewall defend tracert enable 
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。 配置 步 又 : 
在 用 户 视图 下 执行 命令 system-view, 进入 系统 视图 。 
执行 命令 firewall defend tracert enable ,开启 Tracert 报 文 攻击 防范 功能 。 


特殊 报 文 攻击 攻击 Web 配 置 


一 一 -一 令 
攻击 防范 配置 列表 配置 特殊 报 文 控制 类 攻击 防范 


超大 ICMP 报 文 控制 
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报 文 为 什么 会 分 片 ? 


这 个 报 文 太 大 ， 我 受 不 了 


QQ 


MTU=1500b| ” 


a 


我 要 重组 分 片 报 
使 : 
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。 一 条 链 路 所 能 传输 的 最 大 报 文 长 度 被 称 为 MTU<(Maximum Transfer Unit， 最 大 传输 单 
元 ) 。MTU 通 常 与 接口 类 型 有 关 ， 一 个 报 文 在 网 络 中 传输 可 能 会 通过 多 种 不 同 链 路 ， 如 果 
报 文 长 度 比 较 大 的 话 ， 超 过 了 其 中 某 条 链 路 的 MTU 而 无 法 通过 该 条 链 路 ， 将 会 把 报 文 分 割 
到 适合 本 链 路 MTU 大 小 的 多 个 报 文 ， 这 个 被 分 割 之 后 的 报 文 被 称 为 分 片 报 文 ; 


。 理想 的 情况 下 ， 各 分 片 报 文 按照 固定 的 先后 顺序 在 网 络 中 传输 ， 当 目标 设备 接收 到 所 有 
分 片 报 文 后 再 将 这 些 报 文 重 组 为 气 个 完整 的 报 文 。 


什么 是 报 文 分 卢 与 重组 ? 


ER 
op 
\_/ 


示 ; 标 | 位 
seN 片 | 全 | 志 | | saN 
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。 报 文 分 片 后 ， 通 过 IP 报 文 首部 中 的 标识 字段 误 别 哪些 分 片 是 属于 同一 个 报 文 的 ， 通 过 片 
偏 移 字 段 记录 该 分 片 在 整个 报 文中 的 位 置 ， 标 志 字 段 用 最 后 一 个 比特 来 表示 “更 多 分 片 ” 
。 除 了 最 后 一 个 分 片 外 ， 其 他 每 个 组 成 数据 报 的 分 片 都 要 把 该 比特 置 1; 


。 一 个 网 络 设备 在 收 到 所 有 分 片 报 文 之 后 y 就 可 以 根据 标识 字段 和 片 偏 移 字 段 来 将 所 有 分 
片 重 组 为 所 有 原来 的 完整 报 文 。 


报 文 分 片 对 业务 有 何 影 响 ? 


ce 


我 要 分 片 报 文 ， 隐 藏 攻击 行为 





报 文 分 片 影 响 
° 网 络 攻 市 WN 








我 要 重组 分 片 报 文 ， 识 别 攻击 行为 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserveds Page 67 2 HUAWEI 





。 由 于 分 片 报 文 的 特殊 性 ， 分 片 报 文 经 常会 被 利用 来 做 网 络 攻击 。 同 时 分 片 报 文 的 传输 也 
经 常 因 为 某 个 分 请 的 丢失 而 导致 整个 报 区 重 传 * 所 以 在 实际 应 用 中 ， 应 尽量 避免 分 片 报 文 
的 出 现 。 除 了 被 非法 用 户 作为 网 络 攻击 ， 分 片 报 文 对 象 VPN 应 用 (主要 指 IPSEC 和 GRE) 也 
会 造成 影响 。 

。 由 于 需要 设备 对 分 片 报 文 进行 重组 后 解密 或 者 解 封装 ， 设 备 才能 进行 后 续 处 理 ， 所 以 必 
须 将 设备 配置 成 分 片 缓 存 状 态 党 完成 原始 报 文 重组 之 后 ， 才 可 以 进行 相应 的 加 密 解 密 处 理 
。 在 NAT 应 用 中 ， 需 要 设备 对 分 片 报 文 进行 重组 后 才能 正常 解析 和 转换 报 文中 的 IP 地 址 ， 
所 以 也 必须 将 设备 配置 成 分 片 缓存 状态 ， 才 可 以 正常 进行 NAT。 在 VPN 应 用 中 (主要 指 
IPSEC 和 GRE)， 由 于 需要 设备 对 分 片 报 文 进行 重组 后 解密 或 者 解 封装 ， 设 备 才 能 进行 后 
续 处 理 ， 所 以 必须 将 设备 配置 成 分 片 缓存 状态 ， 完 成 原始 报 文 重组 之 后 ， 才 可 以 进行 相应 
的 加 密 解 密 处 理 。 


防火 墙 对 报 文 分 三 处 理 机 制 与 配置 


firewall fragment-forward enable 
一 > 


分 片 丢 弃 


oC. 
firewall fragment-discard enable 


Undo firewall fragment- firewall fragment- 


forward enable 


firewall fragment- undofirewall fragment- 
discard enable forward enable 


缺 省 状态 
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。 在 实际 传输 过 程 中 ， 由 于 网 络 环境 的 复杂 ， 可 能 存在 以 下 情况 
0 ”后 续 分 片 报 文 先 于 首 片 报 文 到 达 茶 个 网 络 设备 ; 


0 后 续 报 文 需要 在 某 个 中 间 设 备 上 进行 重组 后 才能 继续 传输 ， 例 如 中 间 设 备 需 要 解 
析 报 文 载荷 后 才能 判断 如 何 转发 


。 在 USG 上 ， 这 两 种 情况 都 可 能 存储 设备 上 对 分 片 报 文 的 处 理 分 为 三 种 机 制 
0 ”分 片 缓存 : 设备 缺 省 机 制 。 设 备 会 将 非 首 片 的 分 片 报 文 缓存 至 分 片 散 列表 ， 等 待 
首 片 到 来 建立 会 话 后 ， 将 所 有 分 片 报 文 进行 转发 ; 
oO ”分 片 丢 弃 : 不 信任 所 有 分 片 报 文 ， 收 到 分 片 报 文 即 丢弃 。 可 以 提供 最 大 的 安全 性 
， 但 是 可 能 会 影响 正常 业务 的 转发 ; 
oO ”分 片 透 传 : 信任 所 有 分 片 报 文 ， 收 到 分 片 立即 直接 转发 ， 不 会 缓存 到 分 片 散 列 表 
等 待 首 包 的 到 来 。 


DHCP Snooping 概述 





\\ \ 
绑 定 类 型 儿 VLANID “外 接口 信息 





DHCP Snooping 功 能 用 于 防止 
DHCP Server 仿 冒 者 攻击 ; 

。 中 间 人 攻击 与 P/MAC Spoofing 攻 击 ; 
改变 CHADDR 值 的 DoS 攻 击 。 
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。 利用 DHCP 报 文 进行 的 攻击 有 多 种 类 型 ， 了 解 其 攻击 原理 和 通过 DHCP Snooping 技 术 
进行 防范 的 原理 ， 有 助 于 选择 配置 以 下 各 种 类 型 的 攻击 防范 。 


。 DHCP Snooping 是 一 种 DHCP 安 全 特性 ,通过 MAC 地 址 限制 ，DHCP Snooping 安 全 绑 
定 、IP + MAC 绑 定 、Option82 特 性 等 功能 过 滤 不 信任 的 DHCP 消 息 ， 解 决 了 设备 应 用 
DHCP 时 遇 到 DHCP DoS 攻击 、:DHGP Server 仿 冒 攻 击 、ARP 中 间 人 攻击 及 IP/MAC 
Spoofing 攻 击 的 问题 。DHCP Snooping 的 作用 就 如 同 在 Client 和 DHCP Server 之 间 建 立 的 
一 道 防火 墙 。 


DHCP Server 仿冒 者 攻击 


了 DHCP 服务 器 


贺 信任 接口 
不 信任 接口 


使 能 DHCP Snooping 


伪造 DHCP 服 务 器 


伪造 DHCP 服 务 器 的 危害 
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应 用 场景 : 当 用 户 网 络 中 存在 DHCP Servers 念 冒 者 时 ，DHCP Server 仿冒 者 回应 给 
DHCP Client 仿冒 信息 ， 如 错误 的 网 关 地 址 激 错 误 的 DNS 服务 器 、 错 误 的 IP 地 址 等 ， 从 
而 使 DHCP Client 无 法 访问 网 络 。 

防范 思路 : 为 了 避免 受到 DHCR Server 仿 冒 者 的 攻击 ， 可 以 在 设备 上 配置 DHCP 
Snooping 功 能 ， 把 用 户 侧 的 接口 配置 为 Untrusted 模 式 ， 把 DHCP Server 侧 的 接口 配置 为 
Trusted 模 式 ， 所 有 从 Untrusted 接 口 收 到 的 DHCP reply 报 文 全 部 丢弃 。 


中 间 人 与 1P/MAC Spoofing 攻击 


动态 |P 与 MAC 绑 定 表 
静态 |P 与 MAC 绑 定 表 


sm 
mS 


S IP: 10.1.0.2 - < 
: iPs10.0:60.1 
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中 间 人 攻击 是 指 攻 击 者 同时 伪装 为 DHCP Server 和 Client， 进 行 正 常 Server 和 Client 
之 间 报 文 的 中 转 ， 从 而 获得 用 户 数 据 的 攻击 。 


应 用 场景 : 当 网 络 中 存在 中 间 人 或 者 P/MAC Spoofing 攻击 时 ， 攻 击 者 仿冒 Server 和 
Client， 在 服务 器 看 来 ， 所 有 的 报关 都 是 来 自 或 者 发 往 客 户 端 ， 在 客户 端 看 来 ， 所 有 的 报 
文 也 都 是 来 自 或 者 发 往 服务 器 端 。 但 实际 上 这 些 报 文 都 是 经 过 了 中 间 人 的 “二 手 ” 信 息 。 
这 样 仿 冒 者 就 可 以 获得 Server 和 GSlient 的 数据 。 

防范 原理 : 为 了 避免 受到 中 间 人 或 |P/MAC Spoofing 攻击 ， 可 以 在 防火 墙 上 配置 


DHCPSnooping 功 能 六 使 用 DHCP Snooping 绑 定 功能 ， 只 有 接收 到 的 报 文 的 信息 和 缉 
定 表 中 的 内 容 一 致 才 会 被 转发 ， 否 则 报 文 将 被 丢弃 。 


改变 CHADDR 值 的 DoS 攻击 


CHADDR: Client Hardware Address; 


攻击 者 改变 的 不 是 数据 帧 头 部 的 源 MAC 地 址 ， 而 是 改变 DHCP 报 文中 的 
CHADDR ; 


检查 DHCP Request 报 文中 CHADDR 字段 。 





L2 Network 3 Netwomk— 


mm pe 
入 是 DHCP Relsy 


DHCP Client Attacker 
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。 应 用 场景 : 当 网 络 中 存在 DHCP 饿 死 攻 击 时 ,= 政 击 者 改变 的 不 是 数据 帧 头 部 的 源 MAC 
， 而 是 改变 DHCP 报 文中 的 CHADDR (GlienfHardware Address) 值 来 不 断 申 请 IP 地 址 
。 如 果 路 由 设备 仅 根 据 数据 帧 头 部 的 源 MAG 来 判断 该 报 文 是 否 合法 ， 那 么 “MAC 地 址 限 
制 ”方案 不 能 完全 起 作用 ， 这 样 的 攻击 报信 还 是 可 以 被 正常 转发 。 


。 防范 原理 : 为 了 避免 受到 攻击 者 改变 CHADDR 值 的 攻击 ， 可 以 在 设备 上 配置 DHCP 
Snooping 功 能 ， 检 查 DHCP Reqguesi 报 文中 CHADDR 字 段 。 如 果 该 子 段 跟 数 据 帧 头 部 的 
源 MAC 相 匹配 ， 便 转发 报 文 党 否则 ， 丢 弃 报 文 。 


Option82 仿冒 DHCP 续 租 报 文 攻击 ) 





Untrust trust 
L2 Network / Ea CL3 I 
la ed FW DHCP Be 


DHCP Client Attacker 


。 应 用 场景 当 网 络 中 存在 攻击 者 时 ， 攻 击 者 通过 不 断 发 送 
Request 报 文 来 冒充 用 户 续 租 IP。 


。 防范 原理 : 可 以 在 设备 上 配置 DHCP Snooping 功 能 
DHCP Request 报 文 和 使 用 DHCP Snooping 绑 定 功能 
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。 应 用 场景 : 当 网 络 中 存在 攻击 者 时 ， 攻 击 者 通过 不 断 发 送 DHCP Request 报 文 来 冒充 用 
户 续 租 |P 地 址 ， 这 样 一 方面 会 导致 一 些 到 期 将 |P 地 址 无 法 正常 回收 ， 另 外 也 不 是 用 户 的 真 


。 防范 原理 : 为 了 避免 受到 攻击 者 仿冒 DHCP 续 租 报 文 进行 攻击 ， 可 以 在 设备 上 配置 
DHCP Snooping 功 能 ， 检 查 DHCPRequest 报 文 和 使 用 DHCP Snooping 绑 定 功 能 ， 只 有 
接收 到 的 报 文 的 信息 和 绑 定 表 中 的 内 容 一 致 才 会 被 认为 是 正常 的 申请 报 文 ， 报 文 被 转发 ， 
否则 报 文 将 被 丢弃 。 


DHCP Snooping 典 型 应 用 场景 


。 DHCP Snooping 功 能 用 于 防止 : 
o_DHCP Server 仿 冒 者 攻击 ; 
o 中 间 人 攻击 与 I|P/IMAC Spoofing 攻 击 ; 
o 改变 CHADDR 值 的 DoS 攻 击 ; 
o _ Option82 。 
攻击 类 型 DHCP Snooping 工 作 模 式 
DHCP Server 仿 冒 者 攻击 信任 (Trusted) /不 信任 US 
中 间 人 攻击 /IP/MAC Spoofing 攻 击 DHCP Snooping 绑 定 表 


改变 CHADDR 值 的 DoS 攻 击 检查 DHCP 报 文 的 D 访 字段 
Option82 MAC 地 址 限制 
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DHCP Snooping 配 置 举例 





USG (2) trusted 到 
DHCP | L3 Network -一 -一 三 
> jm DB 
We 


(1) Untrusted DHCP Relay 


Switch 


(1) 接口 : GigabitEtherri8fgj0/0 
IP 地 址 : 10.1.12254/24 


(2) 接口 : GigabitEtherrniet 0/0/1 
IP 地 址 : 100.1.M/24 


DHCP 服 务 器 地 址 100.1.1,2/24 。 
DHCP Client 1 DHCP Client 2 
IP 10.1.1.1/24 


Mac: 00e0-fc5e-008a 
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。 组 网 需求 


如 右 图 1 所 示 ，DHCP Client 接 入 设备 。 要 求 在 USG 的 三 层 接 口 GigabitEthernet 
0/0/0 和 GigqbitEthernet 0/0/1 上 配置 DHCP Snooping 功 能 。 把 DHCP Client 侧 的 接口 
配置 为 untrusted 模 式 ， 把 DHCP Relgqy 侧 的 接口 配置 为 trusted 模 式 。 


。 要 求 USG 可 以 防止 以 下 类 型 的 攻击 : 
o DHCP Server 仿 冒 者 攻击 
o 中 间 人 攻击 /IP/MAC 3Poofing 攻 击 ; 
o 改变 CHADDR 值 的 DoS 攻 击 ; 
o 仿冒 DHCP 续 租 报 文 攻击 ; 


0 发 送 DHEP Request 报 文 攻击 ,其 中 DHCP Clinet1 使 用 动态 分 配 的 iP 地址 ; DHCP 
Client2 使 用 静态 分 配 的 iP 地址。 


DHCP Snooping 配 置 步骤 〈1) 


配置 DHCP Relay 的 基本 功能 
。 配置 接口 GigabitEthernet 0/0/1 接 口 地 址 。 


。 配置 DHCP 中 继 功 能 接口 。 
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曾 
对 于 USG 系 列 ， 将 接口 加 入 安全 区 域 0 
配置 要 实现 DHCP 中 继 功 能 的 接口 ， NS 地 址 和 地 址 掩 码 ， 使 其 和 DHCP Client 属 


于 同一 个 网 段 。 \ 
令 


SS 
< 
SS 
~ 
RN 
~ 


DHCP Snooping 配 置 步骤 〈2) 


开启 DHCP Snooping 功 能 ， 配 置 Trusted 接 口 
。 启用 全 局 和 接口 的 DHCP Snooping 功 能 。 


镶 
[DHCP-Relay] dhcp snooping enable ~ 
[DHCP-Relay] interface GigabitEthernet 0/0/0 & 


[DHCP-Relay-GigabitEthernet0/0/0]dhcp snooping enable 
[DHCP-Relay] interface GigabitEthernet 0/0/1 > 
[DHCP-Relay-GigabitEthernet0/0/1]dhcp snooping EN 

。 配置 DHCP Server 侧 接口 配置 为 “Trusted”。 
[DHCP-Relay-GigabitEthernet0/0/1]dhcp snooping triisted 
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将 连接 DHCP Server 侧 的 接口 配置 为 “Trusted”， 将 连接 DHCP Clinet 侧 的 所 有 接口 
开启 DHCP snooping (如 果 用 户 侧 接 辐 没 有 配置 “Trusted” 模 式 ， 那 么 开启 了 接口 的 
Snooping 特 性 后 ， 接 口 模式 默认 为 “Wntrosted”) ， 这 样 可 以 防止 DHCP Server 仿 冒 者 
攻击 。 


DHCP Snooping 配 置 步骤 〈3) 


。 配置 对 特定 报 文 的 检查 和 DHCP Snooping 绑 定 表 
[DHCP-Relay] interface GigabitEthernet 0/0/0 
[DHCP-Relay-GigabitEthernet0/0/0] dhcp snooping check arp enable 
[DHCP-Relay-GigabitEthernet0/0/0] dhcp snooping check ip enable 
[DHCP-Relay-GigabitEthernet0/0/0] dhcp snooping check dhcp-reques 


[DHCP-Relay-GigabitEthernet0/0/0] dhcp snooping check dhcp-cha 


[DHCP-Relay-GigabitEthernet0/0/0] dhcp snooping bind-table s 
10.1.1.1 mac-address 00e0-fc5e-008a 
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在 DHCP Clinet 侧 的 接口 进行 ARP 报 文 和 IP 报 文 检查 ， 这 样 可 以 防止 中 间 人 攻击 
/IP/MAC Spoofing 攻 击 。 在 DHCP Clinet 侧 的 接口 进行 DHCP Request 报 文 检 查 ， 这 样 
可 以 防止 仿冒 DHCP 续 租 报 文 的 攻击 。 窒 DNCP Clinet 侧 的 接口 进行 CHADDR 检 查 ， 这 样 
可 以 防止 改变 CHADDR 值 的 DoS 攻击 。 配 置 静态 绑 定 表 项 ， 对 于 使 用 静态 分 配 IP 的 用 户 ， 
需要 单独 配置 DHCP snooping 静 态 绑 定 表 项 。 


DHCP Snooping 配 置 步骤 〈4) 


。 配置 DHCP 上 送 速率 限制 和 配置 Option82 


。 显示 DHCP Snooping 绑 定 表 的 静态 表 项 信息 。 
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大 
配置 DHCP 上 送 速率 检查 ， te Request 报 文 攻击 。 配 置 DHCP 报 文 
中 携带 接口 信息 ， AN 


Ifname 配置 绑 定 的 接口 名 称 NN 
VrfL3VPN 标 识 ， 未 绑 定 时 为 0 。“ 

Vsi 虚拟 交换 实例 的 名 称 

p/cvlan Port VLAN 和 ClieifhVLAN 的 值 
mqc-address 绑 定 的 址 
ip-address 绑 定 的 IP 


RN 
OS 
RN 
~ 


总 结 


。 网 络 攻击 分 类 
。 各 网 络 攻击 分 类 的 实现 原理 
。 不 同类 型 的 网 络 攻击 的 防范 技术 
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WW huawel 





田 
/UN 


。 防范 流量 型 的 攻击 技术 有 哪些 ? 防范 原理 是 什么 ? 
畸形 报 文 攻击 技术 有 哪些 ”防范 原理 是 什么 ? 
特殊 报 文 攻击 技术 有 哪些 ”防范 原理 是 什么 ? 
扫描 时 探 攻 击 技术 有 哪些 ”防范 原理 是 什么 ? 
DHCP Snooping 技 术 是 什么 ?防范 原理 是 什么 ? 
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@ 练习 题 


。 判断 题 
1， 崎 形 报 文 攻击 与 特殊 报 文 攻击 实现 原理 是 一 致 的 ， 只 是 名 称 不 同 而 以 。 





。 单 选 题 W 


1， 以 下 哪个 是 流量 型 攻击 ? 
A. SYN Flood B. ip-sweep C. Port Scan DWE 都 是 
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。 习题 与 答案 : 
1、 上 畸形 报 文 攻击 与 特殊 报 文 攻击 实现 原理 是 一 致 的 ， 只 是 名 称 不 同 而 以 。 
答案 : 错误 
2、 以 下 哪个 是 流量 型 攻击 ? 
SYN Flood B.ip-sweeB. .CG.Port Scan D. 以 上 都 是 


答案 : 人 


人 
Wo % 
化 


Thank you 
www.huawei.com 





HC120310006 
防火 墙 DD0S 攻 击 防 





@ 目标 


学 完 本 课程 后 ， 您 将 能 够 : 

o 了 解 主要 DDOS 攻 击 的 危害 和 原理 
了 解 DDOS 攻 击 防范 解决 方案 原理 
熟悉 DDOS 攻 击 防范 解决 方案 组 网 规划 


掌握 DDOS 攻 击 防范 解决 方案 安装 配置 步骤 
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1. 常见 DDoS 攻击 技术 介绍 
2. DDOS 攻 击 防 范 方案 设计 
3. DDOS 攻 击 防 范 组 网 配置 
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. 何谓 Dos 攻 击 ? 
最 早 的 攻击 形式 是 DoS (Denial of Service) 攻击 ， 即 攻击 者 通过 网 络 向 攻击 目标 
(一 般 是 服务 器 ， 如 DNS 服务 器 、WEB 有 上 服务器) 发 送 少量 非 业 务 流 量 的 异常 报 文 ， 使 被 攻 
击 服务 器 解析 该 类 报 文 时 系统 骨 溃 或 者 系统 繁忙 ， 达 到 无 法 为 正常 用 户 提供 服务 的 目的 ， 
即 服务 器 拒绝 为 正常 用 户 提供 服务 ， 
。 何谓 DDoS 攻击 ? 
DDoS 全 称 为 Distributed Benfial of Service ， 即 分 布 式 的 Do 攻击 。 这 类 攻击 通常 都 
是 通过 僵尸 网 络 发 起 的 。 因 僵尸 网 络 分 布 于 互联 网 各 处 ， 因 此 这 类 攻击 叫 分 布 式 Do 攻击 。 
。 用 户 的 损失 
联众 服务 器 在 IDC 最 近 一 次 的 攻击 受到 的 损失 超过 300 万 ;完美 时 空 服务 器 在 IDC 最 近 
一 次 的 攻击 受到 的 损失 超过 350 万 。 运 营 商 据 专业 统计 报告 : IDC 行 业 由 于 安全 问题 年 损 
失 3000 万 美元 3 
。 运营 商 的 损失 
超大 异常 流量 造 
于 


营 商 网 吧 大 客户 由 


商 网 络 带宽 拥塞 ， 导 致 运营 商 不 断 扩容 链 路 和 网 络 设 备 。 某 运 


成 运营 
连续 遭 到 DDos 攻 击 ， 网 速 急 剧变 慢 ， 连 续 数 月 ， 不 断 有 用 户 退 网 。 


DDoS 攻击 分 类 


畸形 报 文 攻击 流量 型 攻击 


如 


探测 服务 是 否 


服务 器 不 认识 的 报 文 大 流量 拖 垮 服务 器 
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。 了 畸形 报 文 攻击 


利用 操作 系统 或 应 用 服务 的 漏洞 ， 通 过 少量 报 文 导 致 服务 器 操作 系统 或 应 用 系统 解析 
异常 ， 甚 至 骨 溃 ， 如 Winnuke、 Tear BroP。 通过 操作 系统 或 应 用 加 固 即 可 有 效 防御 该 类 
攻击 。 


。 扫描 窥探 型 攻击 
扫描 类 攻击 : 主机 扫描 和 端口 扫描 ， 通 过 扫描 获取 网 络 可 攻击 的 目标 。 


特殊 控制 报 文 : 如 TRACERT 报 文 、IP 路 由 记录 选项 控制 报 文 ， 通 过 该 类 报 文 测 探 网 络 
拓扑 结构 ， 做 好 攻击 前 准备 工作 。 

上 面 两 类 攻击 行为 在 攻击 防范 章节 有 详细 介绍 请 参考 ， 本 节 主 要 介绍 流量 型 攻击 行为 。 
。 流量 型 攻击 

当 通 过 大 量 报 文 导致 链 路 拥塞 或 者 系统 处 理 繁忙 时 ， 这 类 攻击 我 们 叫 流 量 型 攻击 ， 即 
flood 攻 击 , Flood 政 击 以 SYN Flood、UDP Flood、ICMP Flood 为 主要 代表 。 

流量 型 玫 击 典型 特点 就 是 以 众多 的 小 流量 汇聚 成 为 大 流量 冲击 服务 器 ， 以 实现 让 服务 
器 拒绝 服务 的 目的 ， 类 似 于 “人 海战 术 ”。 


近年 又 发 展 为 针对 常见 服务 的 flood 攻 击 ， 常 见 攻击 有 connection flood[( 连 接 耗 尽 )、 
HTTP Flood (攻击 效果 最 明显 的 如 CC 攻击 ) 、DNS Query Flood、DNS Reply Flood、 
SIPFlood (对 SIP 端 口 发 送 大 量 UDP 垃 圾 报 文 ) 。 


流量 型 攻击 介绍 一 TCP 类 Flood 攻 击 


TCP 类 型 的 Flood 攻 击 ， 攻 击 者 派 遗 大 批 虚假 用 户 的 TCP/IP 
协议 栈 里 “ 占 座 ”， 导 致 正常 用 户 没有 “座位 ”; 被 攻击 服务 器 
接收 到 攻击 报 文 后 需要 检查 会 话 确认 报 文 是 否 属于 某 个 会 话 , 人 如 
果 攻 击 报 文 数量 庞大 ， 服 务 器 处 理性 能 耗 尽 。 


SYN Flood 建立 大 量 半 连接 ， 耗 尽 
TCP 资 源 


SYN-ACK 协议 栈 忙 于 处 理 TCP 连 接 ， 
Flood 耗 尽 TCP 资 源 


AcK Fiood 
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。 SYN-Flood 攻 击 方式 


SYN Flood 攻 击 往往 伪造 一 个 SYN 报 文 ， 其 源 地 址 是 伪造 的 ， 向 服务 器 发 起 连接 ， 服 
务 器 在 收 到 报 文 后 用 SYN-ACK 应 答 ， 而 此 应 答 发 出 去 后 ， 不 会 收 到 ACK 报 文 ， 造 成 一 个 
半 连 接 。 由 于 资源 的 限制 ， 服 务 器 的 协议 栈 只 能 支持 有 限 的 TCP 连 接 。 如 果 攻 击 者 通过 价 
户 网 络 发 送 大 量 这 样 的 报 文 ， 会 在 被 攻击 主机 上 出 现 大 量 的 半 连 接 ， 消 耗 尽 其 资源 ， 使 正 
常 的 用 户 无 法 访问 ， 直 到 半 连 接 超时 内 因此 ，SYN Flood 攻 击 也 叫做 半 连 接 攻击 。 
。 ACK Flood 攻 击 

攻击 者 利用 僵尸 网 络 发 起 TCP 后 续 包 的 Flood 攻 击 ， 冲 击 网 络 带 宽 ， 造 成 网 络 链 路 拥 
塞 。 一 般 来 说 ， 携 带 负 载 的 ACK 报 文 会 有 效 地 挤占 带宽 。 
。 SYN-ACK Flood 攻 击 

SYN-ACK Flood 攻 击 源 会 假冒 服务 器 ， 发 送 大 量 SYN-ACK 报 文 到 攻击 目标 网 络 或 服 


务 器 ， 如 果 网 络 出 口 有 状态 防火 墙 ， 引 起 状态 防火 墙 处 理 异 常 ; 如 果 报 文 目的 端口 是 被 攻 
击 服务 器 的 TSGR 服 务 端口 ， 会 引起 服务 器 TCP 协 议 栈 处 理 异 常 。 


流量 型 攻击 介绍 一 UDP 和 1CMP _ Flood 攻击 


UDP 和 ICMP 都 是 无 连接 的 协议 ， 因 此 此 类 Flood 类 攻击 主要 
采用 “人 海战 术 ”， 堵 住 出 口 ， 无 法 进出 的 正常 流量 。 如 果 针 
对 服务 器 应 用 端口 的 Flood 攻 击 ， 也 会 冲击 服务 器 处 理性 能 。 


UDP Fragment | 带宽 占 满 ， 网 络 拥塞 ; 处 g 
理 分 片 报 文 ( 分 片 组 存 、 A 把 


重组 ) 耗费 资源 


ICMP Flood 忙于 回应 ， 没 空 理会 正常 
业务 
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。 UDP Flood 攻 击 


攻击 者 通过 僵尸 网 络 向 目标 服务 器 发 起 大 量 的 UDP 报 文 (一 般 为 大 包 ， 应 用 程序 存在 
时 交 到 上 层 进 行 处 理 ， 若 应 用 程序 不 存在 则 主机 回应 ICMP 不 可 达 报 文 ) ， 造成 服务 器 资 
源 耗 尽 ， 无 法 响应 正常 的 请 求 ， 严 重 时 会 导致 链 路 拥塞 。 
。 UDP Fragment Flood 攻 击 

攻击 者 向 攻击 目标 发 送 太 量 的 日 DP 分 片 报 文 ， 消 耗 带宽 资源 ， 造 成 被 攻击 者 的 响应 缓 
慢 甚 至 无 法 对 外 响应 。 当 然 仓 所 还 会 引起 协议 栈 更 多 的 资源 消耗 ， 比 如 分 片 缓存 和 重组 ， 
所 以 更 加 消耗 服务 器 处 理性 能 8% 
。 ICMP Flood 攻 击 

发 送 大 量 的 ICMR 消 息 ( 如 ping) 到 服务 器 ， 服 务 器 会 不 断 回 应 。 严 重 时 导致 服务 器 无 法 
处 理 合法 的 请 求 , ` 甚 至 可 能 导致 链 路 拥塞 。 


流量 型 攻击 介绍 一 应 用 层 Flood 攻 击 


针对 各 种 应 用 层 协议 Flood 攻 击 ， 例 如 DNS Query Flood、HTTP 
GET Flood 等 。 攻 击 原理 各 有 区 别 ， 但 攻击 手段 和 网 络 层 攻击 类 似 。 


DNS 服务 器 伪造 大 量 DNS 请 求 ， 造 成 DNS 服务 器 瘫痪 


DNS Reply Flood DNS 服务 器 或 某 ”| 伪造 大 量 DNS 回 应 报 文 ， 将 一 些 合法 城 名 指向 
台 主 机 恶意 IP 地 址 
HTTP GET/POST Flood ”| WEB 服 务 器 大 量 HTTP Get/Post 报 文 ， 请 求 涉及 数据 库 操 
作 的 URL 或 其 它 消耗 系统 资源 的 URL 


一 般 针对 网 银 。 ”| 大 流量 HTTPS 连 接 请 求 ， 消 耗资 源 


SIP Flood SIP 服 务 器 发 送 大 量 INVITE 消 息 到 SIP 服 务 器 ， 导 致 SIP 
服务 器 拒绝 服务 


具体 应 用 服务 器 ”| 建立 大 量 TCP 连 接 , 靳 尽 服 务 器 资源 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserve 中 2 HUAWEI 


。 DNS Query Flood 攻 击 


攻击 者 通过 僵尸 网 络 向 DNS 服务 器 发 送 大 量 不 存在 的 域名 解析 请 求 ， 致 使 DNS 服 
务 器 严重 超载 ， 无 法 继续 响应 正常 用 户 的 DNS 请 求 ， 从 而 达到 攻击 的 目的 。 该 类 攻击 
的 源 IP 一 般 都 是 虚假 的 ， 而 且 为 了 达到 大 面积 攻击 效果 ， 攻 击 者 一 般 将 报 文 的 递归 查 
询 字段 置 位 ， 当 前 服务 器 查询 不 到 会 向 其 上 级 服务 器 请 求 ， 导 致 众多 DNS 服务 器 发 生 
连锁 反应 。 访 问 互联 网 资源 ， 必 须 通 过 DNS 域名 请 求 ， 因 此 该 类 攻击 的 危害 性 极 大 ， 
往往 因 DNS 服 务 器 的 决绝 服务 导致 大 面积 的 网 络 访问 变 慢 ， 甚 至 瘫痪 。 
。 DNS reply Flood 攻 击 


DNS Reply Flood 也 可 称 为 DNS Spoofing， 是 指 攻击 者 在 一 定 条 件 下 将 大 量 伪造 
的 DNS 应 答 包 发 送 给 某 个 DNS Server 或 某 台 主机 ， 这 些 应 答 包 将 一 些 合法 域名 指向 恶 
意 IP 地 址 ， 从 而 达到 欺骗 接收 者 、 干 扰 网 络 的 目的 。 


。 HTTP Get/Post Flood 攻 击 


也 叫 CC 攻 击 ; 攻击 者 通过 代理 或 者 通过 僵尸 向 目标 服务 器 发 起 大 量 的 HTTP 
Get/Post 报 文 ， 请 求 涉及 数据 库 操作 的 URL 或 其 它 消耗 系统 资源 的 URL， 造 成 服务 器 
资源 耗 尽 、 无 法 响应 正常 请 求 。 利用 僵尸 网 络 发 起 的 针对 Web 服务 器 消耗 CPU 资源 
的 WRE 的 攻击 ， 如 需要 访问 数据 库 的 URL， 攻 击 速率 可 能 并 不 快 ， 但 攻击 源 分 布 很 广 ， 
攻击 效果 明显 。 


攻击 防范 技术 总 述 


针对 不 同 的 攻击 ， 使 用 不 同 的 防范 技术 ， 有 的 攻击 可 以 使 用 多 种 
防范 技术 进行 防范 。 
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华为 异常 流量 清洗 解决 方案 中 ， 对 各 种 攻击 有 多 种 防范 方式 ， 归 纳 起 来 主要 有 5 种 。 
。 TCP 代 理 技术 

防火 墙 接管 对 服务 器 的 TCP 连 接 ， 以 进行 检测 和 防范 。 
。 源 合法 性 验证 技术 


通过 基于 传输 协议 的 源 认证 技术 和 基于 应 用 协议 的 源 认证 技术 ， 鉴 别 报 文 源 是 合法 用 
户 还 是 攻击 者 ， 以 达到 防范 的 目的 。 


。 行为 分 析 技 术 
攻击 往往 都 有 一 些 行为 特征 ， 比 如 资源 访问 固定 ， 访 问 频率 恒定 等 ， 通 过 此 检测 技术 
检查 出 攻击 报 文 。 
。 基于 会 话 防御 技术 
通过 会 话 状 态 来 识别 攻击 报 文 。 
。 特征 识别 过 滤 技 术 


在 以 上 检测 都 无 效 或 者 无 法 防御 的 情况 下 ， 可 以 使 用 特征 识别 过 滤 技 术 ， 找 出 攻击 报 
文 的 负载 特征 ， 作 为 流量 过 滤 条 件 ， 手 动 进行 特征 编辑 ， 防 范 某 些 攻击 。 





全 目录 
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Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved 


全 目录 


常见 DDoS 攻击 技术 介绍 
DDOS 攻 击 防 范 技 术 
2.1 七 层 防御 体系 


2 疾 包 和 去 痉 


TCP 报 文 攻击 防御 


.6 UDP 报 文 攻击 防御 





2.7 HTTP 或 者 HTTPS 报 文 攻击 防御 
2.8 其 他 报 文 攻击 防御 


DDOS 攻 击 防 范 组 网 配置 
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七 层 防御 体系 


4 = = 下 才 eS 


> 
办 ee 具有 攻击 
全 中 黑 名 单 。 哺 形 报 文 扫 措 窜 控 报 文 ” 座 候 源流 人 ; 
= 二 多 ~ SS 


一 
区 
区 > 





= 
到 本 
as 
ES 
sp 
zz 和 
E> 
Es 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserveds Page 13 7 HUAWEI 





静态 过 滤 : 直接 丢弃 位 于 黑 名 单 中 的 上 也 地 址 发 出 的 流量 ， 或 者 直接 让 位 于 白 名 单 的 IP 
地 址 发 出 的 流量 通过 


畸形 报 文 过 滤 : 过 滤 利 用 协议 栈 漏洞 的 畸形 报 文 攻 击 。 
扫描 颖 探 报 文 过 滤 : 过 滤 探 测 网 络 结构 的 扫描 型 报 文 和 特殊 控制 报 文 。 
源 合法 性 认证 : 基于 应 用 来 认证 报 文 源 地 址 的 合法 性 ， 这 些 应 用 支持 协议 交互 。 清洗 

设备 通 过 发 送 源 探测 报 文 及 检查 响应 报 文 来 防范 虚假 源 或 工具 发 出 的 攻击 流量 。 

基于 会 话 防 范 : 基于 会 话 洲 防御 并 发 连接 、 新 建 连接 或 异常 连接 超过 阅 值 的 连接 耗 尽 
类 攻击 。 

特征 识别 过 滤 : 主要 靠 指纹 学 习 和 抓 包 分 析 来 获得 流量 特征 ， 防 范 僵尸 工具 或 通过 代 
理发 起 的 攻击 流量 ,以 区 别 正常 用 户 的 访问 行为 。 

其 中 抓 包 分 析 是 指 对 异常 /攻击 流量 抓 包 以 生成 抓 包 文件 ， 通 过 对 抓 包 文件 进行 解析 和 
提取 指纹 ， 能够 获取 流量 特征 。 

流量 整形 : a ， 流 量 依 然 很 大 ， 超 过 用 户 实际 带宽 ， 此 时 
采用 流量 整形 技术 ， 确 保 用 户 网 络 带 





具体 防御 策略 
。 七 层 防 御 技术 是 通过 在 Anti-DDoS 设 备 上 配置 防御 策略 来 实现 
的 。 
。 基于 接口 
o 基于 全 局 
o 基于 防护 对 象 
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基于 接口 的 防御 

在 配置 防御 策略 时 ， 管 理 员 应 该 首先 配置 基于 接口 的 防御 策略 ， 以 应 对 大 流量 攻击 。 
Anti-DDoS 设 备 在 收 到 报 文 时 ， 首 先 在 接口 板 对 报 文 进行 合法 性 检查 。 通 过 认证 的 报 文 允 
许 通 过 ; 没有 认证 通过 的 报 文 禁止 通过 。 

基于 全 局 的 防御 

配置 全 局 防御 方式 后 ， 设 备 对 流 经 的 所 有 流量 进行 检测 和 清洗 ， 不 区 分 流量 属于 哪个 
防护 对 象 。 


基于 防护 对 象 的 防御 


基于 网 段 的 防御 。 尖 于 网 段 的 防御 是 指针 对 整个 防护 对 象 设置 防 御 阔 值 ， 将 每 个 防护 
对 象 的 所 有 目的 IP 流 量 集 中 统计 ， 一 旦 流量 达到 告警 阔 值 则 触发 防御 。 


基于 服务 的 防御 。 清洗 设备 将 到 达 防 护 对 象 的 流量 按照 目的 IP 地 址 、 协 议 类 型 和 目的 
端口 ， 定 义 为 不 同 的 服务 类 型 ， 针 对 不 同类 型 的 服务 配置 不 同 的 防御 策略 ， 进 行 精细 化 防 
御 和 差异 化 防御 。 


基于 防护 对 象 的 默认 防御 策略 。 默 认 防 御 策 略 中 的 各 种 防御 方式 主要 是 针对 非 服务 流 
量 进行 防御 的 。 到 达 防 护 对 象 的 流量 中 ， 通 常 除 了 服务 流量 外 ， 还 有 很 多 非 服 务 流量 。 这 
些 非 服务 的 流量 有 的 是 用 户 操作 产生 的 流量 (比如 : Telnet、Ping 等 ) ， 有 的 是 宛 余 或 者 
玫 击 流量 ， 针 对 不 同类 型 的 流量 ， 可 以 配置 不 同 的 防御 手段 。 


全 目录 


常见 DDoS 攻击 技术 介绍 


DDOS 攻 击 防范 技术 
2.1 七 层 防御 体系 


TCP 报 文 攻击 防御 


.6 UDP 报 文 攻击 防御 





2.7 HTTP 或 者 HTTPS 报 文 攻击 防御 
他 报 文 攻击 防御 


DDOS 攻 击 防 范 组 网 配置 
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首 包 丢弃 


。 首 包 丢弃 
o 有 些 攻 击 是 不 断 变换 源 IP 地 址 或 者 源 端 口号 发 送 攻击 报 文 ， 通 过 首 包 丢 
奔 ， 可 以 有 效 拦截 这 部 分 流量 。 首 包 丢弃 与 源 认 证 结合 使 有 用， 防止 虚假 


源 攻击 。 


。 处 理 过 程 
SYN, TCP, DNS, UDP 或 ICMP 速率 达到 阅 值 
OO 一 J 
丢弃 3SYN, TCP, DNS, UDP 或 CMP 首 包 | 一 
正常 主机 发 送 数 据 包 二- 


常 主机 会 重新 发 送 数据 包 


正常 








攻击 主机 不 会 会 重新 发 送 数据 包 Server 
Anti-DDos 


Device 
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。 处 理 过 程 
开启 首 包 丢 弃 功 能 后 ，SYN、TCP、DNS、UDP、ICMP 各 类 流量 超过 阅 值 后 ， 设 备 会 


丢弃 报 文 首 包 。 
基于 三 元 组 ( 源 IP 地 址 、 源 端口 和 协议 ) 来 匹配 报 文 ， 并 通过 报 文 的 时 间 间 隔 来 判断 


首 包 : 

当 报 文 没有 匹配 到 任何 三 元 组 时 ， 认 为 该 报 文 是 首 包 ， 将 其 丢弃 。 

当 报 文 匹 配 到 某 三 元 组 ， 则 计算 该 报 文 与 匹配 该 三 元 组 的 上 一 个 报 文 到 达 的 时 间 间 隔 。 
如 果 时 间 间 隔 低 于 设 定 的 下 限 ， 或 者 高 于 设 定 的 上 限 ， 则 认为 是 首 包 ， 将 其 丢弃 ; 如 

果 时 间 间 隔 落 在 配置 的 注 限 和 下 限 之 间 ， 则 认为 是 后 续 包 ， 将 其 放行 


全 目录 


常见 DDoS 攻击 技术 介绍 
DDOS 攻 击 防 范 技术 
2.1 七 层 防 御 体 系 


2.3 阻 断 和 限 流 


指纹 过 波 
2.5TCP 报 文 攻击 防御 
2.6 UDP 报 文 攻击 防御 
2.7 HTTP 或 者 HTTPS 报 文 攻击 防御 
他 报 文 攻击 防御 


DDOS 攻 击 防 范 组 网 配置 
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阻 断 和 限 流 


。 通过 服务 学 习 或 经 验 发 现 网 络 中 根本 没有 茶 种 服务 或 某 种 服 

务 流量 很 小 ， 则 可 以 分 别 采 用 阻 断 和 限 流 方 法 来 防御 攻击 。 

o 阻 断 : 在 自 定义 服务 策略 中 表示 将 匹配 自 定义 服务 的 报 文 全 部 于 
弃 ; 在 默认 防御 策略 中 表示 将 自 定义 服务 以 外 的 此 协议 报 文 全 
丢弃 。 

o 限 流 : 在 自 定义 服务 策略 中 表示 将 匹配 自 定 义 服务 的 报 文 限制 在 
阅 值 内 ， 丢 弃 超过 羡 值 的 部 分 报 文 ， 在 默认 防御 策略 中 表示 将 自 
定义 服务 以 外 的 此 协议 报 文 限制 在 阔 值 内 ， 委 奔 超 过 阔 值 的 部 分 
报 文 
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全 目录 


常见 DDoS 攻击 技术 介绍 


DDOS 攻 击 防 范 技 术 


七 层 防 御 体 系 


P 报 文 攻击 防御 
.6 UDP 报 文 攻击 防御 





2.7 HTTP 或 者 HTTPS 报 文 攻击 防御 


2.8 其 他 报 文 攻击 防御 


DDOS 攻 击 防 范 组 网 配置 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserveds Page 20 


静态 指纹 过 滤 


。 通过 配置 静态 指纹 ， 对 命中 指纹 的 报 文 进行 相应 的 处 理 ， 从 
而 对 攻击 流量 进行 防御 。 
o TCP/UDP/ 自 定义 服务 可 基于 载荷 〈 即 报 文 的 数据 段 ) 
o DNS 报 文 针 对 域名 提取 指纹 


o HTTP 报 文 针对 通用 资源 标识 符 URI (Uniform Resource 
Identifier) 提取 指纹 。 
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可 与 抓 包 取证 结合 ， 提 取 流 量 特征 ， 作 为 过 滤 条 件 。 支 持 基于 异常 事件 自动 抓 包 ， 抓 
包 支 持 抽 样 比 ， 可 对 攻击 流量 进行 均匀 、 全 面 抓 包 ， 忽 略 正 常 流量 特征 ， 准 确 提 取 异 常 流 


量 特征 。 


全 目录 


常见 DDoS 攻击 技术 介绍 
DDOS 攻 击 防 范 技 术 


指纹 过 浙 


2.5TCP 报 文 攻击 防御 
2.6 UDP 报 文 攻击 防御 


2.7 HTTP 或 者 HTTPS 报 文 攻 击 防 御 


] 性 


DDOS 攻 击 防 范 组 网 配置 
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TCP 正 常 建立 连接 和 断 开 连接 的 过 程 


和 一 一 习 


Client 


Client | Server 
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。 在 TCP/HIP 协 议 中 ，TCP 协 议 提供 可 靠 的 连接 服务 淮 采 用 三 次 握手 建立 一 个 连接 。 

第 一 次 握手 : 建立 连接 时 ， 客 户 端 发 送 SYN 包 (SYN=J) 到 服务 器 ， 并 进入 SYN_SENT 状 态 ， 等 
人 

第 二 次 握手 : 服务 器 收 到 SYN 包 ， 必 须 篇 出 ACK 包 (ACK=J+1) 来 确认 客户 端的 SYN 包 ， 同 
时 自己 也 发 送 一 个 SYN 包 (SYN=K) ,( 即 SYN-ACK 包 ， 此 时 服务 器 进入 SYN_RCVD 状 态 。 


第 三 次 握手 : 客户 端 收 到 服务 器 的 SYN-ACK 包 ， a ae K+1)， 此 包 
发 送 完毕 ， 客 户 端 和 服务 器 进入 ESTABLISHED 状 态 ， 完 成 三 次 握手 。 


如 果 服 务 器 发 出 的 SYN-ACK 包 异常 ， 客 户 端 会 发 送 一 个 RST 包 给 服务 器 ， 服 务 器 重新 回 到 
LISTEN 监 听 状 态 。 


。 TCP 采 用 四 次 握手 来 关闭 一 个 连接 。 
第 一 次 握手 :人 客户 端 发 送 FIN 包 (FIN=M) 到 服务 器 ， 表 示 客 户 端 没有 数据 要 向 服务 器 发 送 了 
， 同 时 进入 FIN_WAITs1 状 态 ， 等 待 服务 器 确认 。 


第 二 次 握手 : 服务 器 收 到 FIN 包 ， 必 须发 送 ACK 包 (ACK=M+1) 来 确认 客户 端的 FIN 包 ， 但 服 
务 器 数据 还 没 传 完 y 所 以 不 发 送 FIN 包 ， 此 时 服务 器 进入 LAST_WAIT 状 态 。 

第 三 次 握手 : 当 服 务 器 没有 数据 要 向 客户 端 发 送 时 ， 服 务 器 发 送 FIN 包 (FIN=N) 到 客户 端 ， 
并 进入 LASTYACK 状 态 ， 等 待 客户 端 最 终 确 认 。 
第 四 次 握手 : 客户 端 收 到 FIN 包 ， 发 出 ACK 包 (ACK=N+1) 来 确认 服务 器 的 FIN 包 ， 进 
十 IME_WAIT 状 态 ， 等 待 连接 完全 断 掉 。 此 包 发 送 完毕 ， 服 务 器 进入 CLOSED 状 态 ， 完 成 四 次 握 卫 
， 双 方 连接 断 开 。 
























































> 








m 











SYN Flood 攻 击 


Attacker 
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SYN Flood 攻 击 防 御 - 源 合法 性 验证 技术 


Internet 来 的 流量 访问 应 用 服务 器 ， 清 洗 设备 通过 各 种 源 探测 技术 
鉴别 哪些 是 正常 流量 ， 哪 些 是 攻击 流量 ， 藉 此 有 针对 性 的 防范 。 


J 
DD 


源 探测 技术 
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四 多 huawel 


基于 传输 协议 层 的 源 验证 技术 主要 是 防范 虚假 产 攻 击 ， 基 于 应 用 协议 的 源 验证 技术 主 
要 是 防 非 应 用 客户 端 攻击 。 


基于 传输 协议 层 的 源 合法 性 验证 技术 


利用 TCP 协 议 原理 ， 针 对 TCP 类 Flood 进 行 检 测 和 防御 。 用 户 进行 
TCP 连 接 ， 清 洗 设 备 回 应 经 过 构造 的 SYN-ACK 报 文 ， 通 过 用 户 的 反应 
来 判断 此 用 户 是 否 正常 。 主 要 用 于 来 回路 径 不 一 致 的 情况 下 。 














并 ©@ SYN : 我 要 访问 
Q 全 回应 一 个 带 有 序列 号 错误 的 报 文 


RST : 非 此 连接 ， 关 闭 ， 我 将 重新 尖 试 .… 洒 
© ee po 区 一 





SYNACK : 回应 一 个 带 有 序列 号 错误 的 报 文 
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来 回路 径 不 一 致 只 可 以 用 源 合法 性 验证 技术 光 但 来 回路 径 一 致 情况 下 也 可 以 使 用 反 回 
探测 技术 。 反 向 探测 技术 性 能 很 高 ， 大 流量 冲击 情况 下 防范 效果 更 好 。 


SYN-ACK Flood 攻 击 与 防御 原理 


。 通过 对 报 文 源 的 合法 性 检查 来 防御 SYN-ACK Flood 攻 击 。 
。 攻击 原理 


b ack=a+) 


eo= 
Des'\? WSN 


PE < 

人 pS et 区 X 
Des = 和 = 

2 2 = 


=D, a 
S \PONSYN 
， e 
Client 中 Attacker 


。 防御 原理 
o 清洗 设备 基于 目的 地 址 对 SYN-ACK 报 文 速率 进行 统计 ， 当 SYN- 
ACK 报 文 速率 超过 阔 值 时 ， 启 动 源 认证 防御 。 
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攻击 原理 

SYN-ACK Flood 攻 击 源 会 假冒 服务 器 ， 发 送 大 量 3YN-ACK 报 文 到 攻击 目标 网 络 或 服 
务 器 ， 如 果 网 络 出 口 有 状态 防火 墙 ， 引 起 状态 防火 墙 处 理 异 常 ; 如 果 报 文 目的 端口 是 被 攻 
击 服务 器 的 1CP 服 务 端口 ， 会 引起 服务 器 IEP 协议 栈 处 理 异常 。 

防御 原理 

清洗 设备 基于 目的 地 址 对 SYN=ACK 报 文 速率 进行 统计 ， 当 SYN-ACK 报 文 速率 超过 阐 
值 时 ， 启 动 源 认 证 防御 。 


ACK Flood 攻 击 与 防御 原理 


会 话 检 查 和 载荷 检查 结合 来 防御 ACK Flood 攻 击 。 
攻击 原理 i PLAN ACK 


S 
.2 
? BK “2 


APON So 凤 


? Pl 2 一 一 Scr \P(O) Wr 


Server Attacker 
防御 原理 
o 当 ACK 报 文 速率 超过 羡 值 了 时， 启动 会 话 检查 。 
。 如 果 清 洗 设备 检查 到 ACK 报 文 没有 命中 会 话 ， 通 过 严格 模式 或 者 基本 模式 处 理 。 
。 如 果 清 洗 设备 检查 到 ACK 报 文 命中 会 话 ， 则 检查 会 话 创建 原因 。 
o 载荷 检查 是 清洗 设备 对 ACK 报 文 的 载荷 进行 检查 ， 如 虹 载 集 内 容 全 一 致 ( 如 载 
荷 内 容 全 为 1 等 ) ， 则 丢弃 该 报 文 。 
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攻击 原理 


攻击 者 利用 僵尸 网 络 发 送 大 量 的 ACK 报 文 > 冲击 网 络 带 宽 ， 造 成 网 络 链 路 拥塞 ; 同时 
被 攻击 服务 器 接收 到 攻击 报 文 后 需要 检查 会 话 以 确认 报 文 是 否 属于 茶 个 会 话 ， 如 果 攻 击 报 
文 数量 庞大 ， 服 务 器 处 理性 能 耗 尽 ， 从 而 拒绝 正常 服务 。 


防御 原理 
当 ACK 报 文 速率 超过 阅 值 时 2 局 动 会 话 检查 。 
如 果 清 洗 设备 检查 到 ACK 报 文 没有 命 a ， 则 有 两 种 处 理 模 式 : 


“严格 模式 ”: et ww。 如 果 清 洗 设 备 没 有 检查 到 已 
经 建立 的 会 话 ， 直 接 丢 弃 报 文 。 


“基本 模式 ”: 劳 路 部 署 动态 引流 时 ， 对 于 引流 前 已 经 建立 的 会 话 ， 清 洗 设 备 上 会 检 
查 不 到 会 话 ， 此 时 建议 采用 “基本 模式 ”， 即 当 连 续 一 段 时 间 内 ACK 报 文 速率 超过 羡 值 时 
， 启 动 会 话 检查 4 设备 会 先 让 几 个 ACK 报 文通 过 ， 建 立会 话 ， 然 后 对 会 话 进 行 检查 ， 确 定 
是 否 丢弃 报 文 。 

如 果 清 洗 设 备 检查 到 ACK 报 文 命中 会 话 ， 则 检查 会 话 创 建 原 因 。 

如 果 会 话 是 由 SYN 或 SYN-ACK 报 文 创建 的 ， 则 允许 该 报 文通 过 。 

如 果 会 话 是 由 其 他 报 文 创建 的 (例如 ACK 报 文 ) ， 则 查看 报 文 检查 结果 ， 序 列 号 正确 
的 报 文 允许 通过 ， 不 正确 的 报 文 则 被 丢弃 。 

载荷 检查 是 清洗 设备 对 ACK 报 文 的 载荷 进行 检查 ， 如 果 载 荷 内 容 全 一 致 〈 如 载荷 内 容 
全 为 1 等 ) ， 则 丢弃 该 报 文 。 


只 有 启用 了 “会 话 检 查 ” ， 才 能 启用 “载荷 检查 ” ， 对 会 话 检 查 通过 的 报 文 进行 载荷 
答 查 。 


FIN/RST Flood 攻 击 与 防御 原理 


。 防御 FIN/RST Flood 攻 击 的 方法 是 进 


EN NIRST 


e 攻击 原理 ae 


PB)T 
EE 
Des \P\ 
RST 
4 ， PO Scf VPC 了 
Server ? Attacker 


。 防御 原理 
o 当 FIN/RST 报 文 速率 超过 阅 值 时 ， 局 动 会 话 检查 。 
。 如 果 清 洗 设备 检查 到 FIN/RST 报 文 没有 命中 会 笑 ” 直接 丢弃 报 文 。 
， 如 果 清 洗 设备 检查 到 FIN/RST 报 文 命中 会 活 、 则 检查 会 话 创建 原因 


o 
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防御 原理 

当 FIN/RST 报 文 速率 超过 阅 值 时 ， 启 动 会 话 检 查 

如 果 清 洗 设备 检查 到 FIN/RST 报 文 没有 命中 会 话 ， 直 接 丢 奔 报 文 。 

如 果 清 洗 设 备 检查 到 FIN/RST 报 多 命中 会 话 ， 则 检查 会 话 创建 原因 。 
如 果 会 话 是 由 SYN 或 SYN-AGLK 报 文 创建 的 ， 则 人 允许 该 报 文通 过 。 


如 果 会 话 是 由 其 他 报 文 创 建 的 〈 例 如 ACK 报 文 ) ， 则 查看 报 文 检查 结果 ， 序 列 号 正确 
的 报 文 允 许 通过 ， 不 正确 的 报 文 则 被 丢弃 。 





全 目录 


常见 DDoS 攻击 技术 介绍 
DDOS 攻 击 防 范 技 术 


七 层 防御 体系 


P 报 文 攻击 防御 
.6 UDP 报 文 攻击 防御 





2.7 HTTP 或 者 HTTPS 报 文 攻击 防御 


DDOS 攻 击 防范 组 网 配置 
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UDP Flood 关 联 TCP 类 服务 防范 


。 当 UDP 流 量 与 TCP 类 服务 有 关联 时 ， 通 过 防御 TCP 类 服务 来 防御 UDP 
Flood 
。 攻击 原理 
o 攻击 者 通过 僵尸 网 络 向 目标 服务 器 发 起 大 量 的 UDP 报 文 ， 这 种 UDP 报 文通 售 帮 
大 包 ， 且 速率 非常 快 ， 从 而 造成 服务 器 资源 耗 尽 ， 无 法 响应 正常 的 请 求 ss 还 重 时 
会 导致 链 路 拥塞 。 





| 


: 1 
| 
连续 一 段 时 间 内 到 同一 目的 地 过 阅 值 则 启 
动 i 3 
2 「 人 大 深 FTCP 
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UDP 是 无 连接 的 协议 ， 因 此 无 法 通过 源 认 证 的 方法 防御 UDP Flood 攻 击 。 但 是 有 些 服 
务 例如 游戏 类 服务 ， 是 先 通过 TCP 协 议 对 用 户 进行 认证 ， 认 证 通过 后 使 用 UDP 协 议 传 输 业 
务 数据 ， 此 时 可 以 通过 防御 UDP Flood 关 联 的 TCP 类 服务 来 达到 防御 UDP Flood 攻 击 的 目 
的 ， 当 发 现 源 IP 异 常 时 ， 将 TCP 服 务 和 UBP 服 务 流量 都 丢弃 或 限 速 。 


载 何 检 查 和 指纹 学 习 


。 使 用 载荷 检查 和 指纹 学 习 方 法 防御 具有 规律 的 UDP Flood 攻 击 。 
。 攻击 原理 


o 攻击 者 通过 僵尸 网 络 向 目标 服务 器 发 起 大 量 的 UDP 报 文 ， 这 种 UDP 报 文通 常 故 
大 包 ， 且 速率 非常 快 ， 从 而 造成 服务 器 资源 耗 尽 ， 无 法 响应 正常 的 请 求 ， 才 攻 时 
会 导致 链 路 拥塞 。 





。 防御 原理 连续 一 段 时 间 内 到 同 ES 文 超 


过 立 值 则 启动 指纹 学习 


3 
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载荷 检查 : 当 UDP 流 量 超过 阔 值 时 ， 会 触发 载荷 检查 。 如 果 UDP 报 文 数据 段 内 容 完 
一 样 ， 例 如 数据 段 内 容 都 为 1， 则 会 被 认为 是 攻击 而 丢弃 报 文 。 

指纹 学 习 : 当 UDP 流 量 超过 阅 值 时 会 触发 指纹 学 习 。 指 纹 由 清洗 设备 动态 学 习 生 成 
， 将 攻击 报 文 的 一 段 显 著 特 征 学 习 为 指纹 后 ， 匹 配 指纹 的 报 文 会 被 丢弃 。 


UDP 分 片 攻击 与 防御 原理 


。 使 用 载荷 检查 和 指纹 学 习 方 法 防御 具有 规律 的 UDP 分 片 报 文 
攻击 。 
。 攻击 原理 
o 攻击 者 向 攻击 目标 发 送 大 量 的 UDP 分 片 报 文 ， 消 耗 带宽 资源 
造成 被 攻击 者 的 响应 缓慢 甚至 无 法 正常 回应 。 
。 防御 原理 
o 载荷 检查 


o 指纹 学 习 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserve 中 Page 33 HUAWEI 


全 目录 


常见 DDoS 攻击 技术 介绍 
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七 层 防 御 体 系 


TCP 报 文 攻击 防御 





2.6 UDP 报 文 攻击 防御 


2.7 HTTP 或 者 HTTPS 报 文 攻击 防御 


2.8 其 他 报 文 攻击 防 
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HTTP Flood 攻 击 与 防御 原理 


。 防御 HTTP Flood 攻 击 的 方法 包括 源 认证 、 目 的 IP 的 URI 检 测 和 指纹 
学 习 


@ 攻击 原理 
a。 攻击 者 通过 代理 或 僵尸 向 目标 服务 器 发 起 大 量 的 HTTP 报 文 ， RM 


数据 库 操作 的 URI 或 其 它 消耗 系统 资源 的 URI， 造 成 服务 器 资源 耗 尽 ， 
无 法 响应 正常 请 求 。 
。 防御 原理 
o HTTP Flood 源 认证 
o 目的 IP 的 URI 检 测 
o 指纹 学 习 
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HTTPS 类 报 文 攻击 防御 


。 通过 源 认 证 方法 来 防御 HTTPS Flood 攻 击 。 
。 攻击 原理 
o 攻击 者 通过 代理 、 僵 尸 网 络 或 者 直接 向 目标 服务 器 发 起 大 量 
HTTPS 连 接 ， 造 成 服务 器 资源 耗 尽 ， 无 法 响应 正常 的 请 求 。 
。 防御 原理 
o 通过 源 认证 对 HTTPS 攻 击 进行 防御 ， 清 洗 设备 基于 目的 地 址 对 
HTTPS 请 求 报 文 速率 进行 统计 ， 当 HTTPS 请 求 速率 超过 辣 值 时 
， 启 动 源 认证 防御 。 
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SSL DoS 攻 击 与 防御 原理 


。 通过 源 认 证 和 SSL 防 御 结合 防御 SSL DoS 攻 击 。 
。 攻击 原理 
o SSL 握 手 的 过 程 中 ， 在 协商 加 密 算法 时 服务 器 CPU 的 开销 是 客户 端 开销 
的 15 们 左右。 攻击 者 利用 这 一 特点 ， 在 一 个 TCP 连 接 中 不 停 地 快速 
协商 。 
。 防御 原理 
o 清洗 设备 基于 目的 地 址 对 HTTPS 请 求 报 文 速率 进行 统 诗 %、 当 HTTPS 请 
求 速率 超过 阅 值 了 时， 启动 源 认证 防御 和 SSL 防 御 : 
。 源 认 证 
。 SSL 防 御 
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源 认证 : 可 参考 HTTPS Flood 攻 击 与 防御 原理 

SSL 防 御 : 在 检查 周期 内 ， 如 果 某 个 源 IP 地 址 到 目的 IP 地 址 的 协商 次 数 超过 最 大 值 ， 
则 将 此 会 话 标记 为 异常 会 话 ， 在 异常 会 话 检 查 周 期 内 ， 如 果 异 常会 话 数 超过 最 大 值 时 ， 判 
定 该 源 IP 地 址 异常 ， 将 该 源 IP 地 址 加 入 黑 名 单 。 


多 目录 


常见 DDoS 攻击 技术 介绍 
DDOS 攻 击 防 范 技术 


七 层 防御 体系 


击 防御 





2.7 HTTP 或 者 HTTPS 报 文 攻击 防御 
2.8 其 他 报 文 攻击 防御 
DDOS 攻 击 防 范 组 网 配置 
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DNS 交互 过 程 


。 当 用 户 上 网 访问 某 个 网 站 时 ， 会 向 DNS 缓存 服务 器 发 出 该 网 站 的 域名 ， 以 
请 求 其 IP 地 址 。 DNS 缓存 服务 器 会 直接 用 缓存 区 中 的 记录 信息 回应 ， 直 到 
该 记录 老化 ， 被 删除 。 

。 当 DNS 缓 存 服务 器 查找 不 到 该 域名 与 |P 地 址 对 应 关系 时 ， 它 会 向 授权 上 NS 
服务 器 发 出 域名 查询 请 求 。 


cp 


发 送 DNS 请 求 报 文 ， 如 sina.com 





>| 
DNS 回应 : sina.com 对 应 的 IP 地 址 是 XX | 5， 





文 ， 如 google.com 





4 - 
DNS 回应 ，google.com 对 应 的 IP 地 址 是 XX | DNS 回 应 ，google.com 寺 应 的 IP 地 十 对 XX 
-= 





二 
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DNS Request Flood 攻 击 与 防御 原理 


利用 应 用 层 协议 原理 的 具体 原理 ， 针 对 不 同 的 应 用 协议 进行 检测 防 
范 。 当 用 户 发 起 请 求 ， 清 洗 设备 回应 经 过 构造 的 应 用 层 报 文 ， 通 过 用 户 
的 反应 来 判断 此 用 户 是 否 正常 。 


DNS DNS Request: wwwaaa.com(UDP) www.aaa.com (UDP) 
DNS Reply : 请 通过 TCP 协 议 重 发 请 求 ! 。 DNS Reply : 请 通过 TCP 协 议 重 发 请 求 ! 请 通过 TCP 协 议 重 发 请 求 ! 
DNS _ DNSRequest:wwwaaa.com(TCP) _， www.aaa.com (TCP) 


DNS .DNSReply:20072xx(TCP) 200.72.x.x (TCP) ee 
DNS Request : www.aaa.com (UDP) 


DNS Reply : 请 通过 TCP 协 议 重 发 请 求 ! 


一 





Db 这 





本 
rr 
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， 常见 DDoS 攻 击 技术 介 绍 
.DDOS 攻 击 防范 方案 设计 
. DDOS 攻 击 防 范 组 网 配置 

3.1 系 统 架 构 

3.2 组 网 方案 介绍 

3.3 引流 和 回 注 

3.4 安 装 及 操作 简介 
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解决 方案 三 要 素 


安装 在 服务 器 上 软件 管理 系统 


i 设备 管理 “We 
策略 管理 


报表 呈现 


专业 流量 分 析 设 备 专业 流量 清洗 设备 
检测 异常 流量 清洗 非法 流量 
上 报 流量 数据 上 报 流量 数据 


4 
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1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
1 


f K 。 由 三 大 核心 系统 组 成 旁 挂 布 署 或 直路 部 署 在 网 络 出 口 处 
宽带 接 入 网 ; » 1 “管理 服务 器 和 采集 器 之 间 通 过 TG 全 坟 JAVA 的 一 种 通 计 
人 接口 ) ， 可 选用 SSL 加 密 ; 
,管理 服务 器 通过 teInet 或 者 SSH 疝 网 络 设备 下 发 策略 ; 
.管理 服务 器 对 网 络 设备 的 监 铬 采用 SNMP ; 
,检测 中 心 和 清洗 中 心 册 采集 器 上 报 日 志 采 用 的 是 UDP 报 文 
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该 异常 流量 清洗 方案 系统 主要 包括 三 个 组 成 部 分 : 
。 检测 中 心 


对 镜像 或 者 分 光 过 来 的 流量 进行 DDoS 攻击 流量 的 检测 和 分 析 ， 将 分 析 数 据 提供 给 管 
理 中 心 进行 判断 。 
® 管理 中 心 


由 服务 器 系统 组 成 ， 也 称 之 为 ATIC 管 理 系统 。 完 成 攻击 事件 的 处 理 、 并 控制 清洗 中 心 
的 引流 策略 和 清洗 策略 。 并 且 对 各 种 攻击 事件 和 攻击 流量 的 分 类 查看 ， 并 可 产生 报表 。 


。 清洗 中 心 


由 执行 清洗 任务 的 硬件 系统 组 成 ， 主 要 是 根据 安全 管理 中 心 的 控制 策略 进行 攻击 流量 
牵引 并 清洗 ， 把 清洗 后 的 正常 流量 注 回 到 客户 网 络 ， 发 送 到 真正 的 目的 地 。 


三 大 中 心 设备 介绍 





。 检测 设备 可 由 下 列 设备 组 成 
USG5300ADI; 
USG3300 检 测 板 ; 

SIG 系列 产品 ; 
第 三 方 NetFlow 设 备 。 

。 清洗 设备 可 由 下 列 设备 组 成 
USG5300ADD; 
USG9300 清 洗 板 。 


。 后 台 服 务 器 需 安装 windows 2003 SP2 操 作 系 统 


析 


0° 





异常 流量 量 靖 青 洗 系统 组 成 一 检测 中 /| 


Optical Splitting Netflow 


第 又 区 咏 


Arbors 威 寄 
所 3 答 测 设备 。 


解决 方案 推荐 使 用 可 以 使 用 Anti-DBos-8000 的 
检测 板 或 Anti-DDos 1500 来 进行 办 测 。 也 可 以 使 
pe 用 专用 的 DPI 设 备 SIG 系 列 来 联动 检测 ; 
| 检测 板 同时 解决 方案 也 支持 使 用 Netflow 协 议 来 进行 采 
样 检测 。 
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仿 测 、 监 控 中 心 主要 负责 网 络 流量 的 检测 分 析 。 


采用 镜像 或 分 光 的 方式 ， 只 需 在 将 原来 的 光 链 路 替换 为 分 光 器 即 可 ， 常 用 的 分 光 器 有 1 
1 分 3 等 ， 光 功率 比 有 50: 50、70N15s15 等 。 或 者 在 出 口 设备 上 将 上 下 行 的 流量 通 
端口 镜像 方式 引入 到 检测 中 心 设备 。 


主要 特点 : 

仿 测 中 心 检测 的 是 全 部 流量 ， 因 此 检测 准确 率 较 高 ，; 

数据 时 间 粒 度 可 以 很 细 ,、 实时 性 较 好 ; 

包含 7 层 协议 信息 # 并 可 实现 其 他 应 用 层 异常 分 析 检 测 ; 

令 测 准确 度 高 ， 深 度 包 检测 ， 特 征 匹 配 ， 会 话 重 组 ; 
部 署 集中 ， 护 展 性 要 求 较 高 ， 旁 路 部 署 对 现 网 设备 无 任何 影响 。 


如 果 使 用 Netflow 协 议 ， 那 么 要 求 网 络 设备 支持 Netflow 协 议 ， 对 网 络 流量 进行 采样 分 
这 样 的 话 、 并 不 能 分 析 所 有 流量 ， 因 此 检测 准确 率 较 低 ， 其 主要 特点 如 下 : 


数据 时 间 粒 度 中 等 ， 有 些 延 迟 ; 

无 法 做 到 精细 化 的 检测 ， 而 精细 化 的 检测 对 行业 网 来 说 非常 重要 
抽样 比较 大 ， 不 适合 做 小 流量 攻击 检测 ， 不 包含 应 用 层 信息 ; 

部 署 简 单 ， 易 于 扩展 ; 

需要 现 网 设备 向 分 析 设 备 发 送 Netflow 流 ， 对 现 网 设备 有 一 部 分 的 影响 。 


时 : 圭 、 > : 雪 、 ， 
流量 清洗 系统 组 成 清洗 中 心 

清洗 中 心 完成 对 异常 流量 的 引流 、 检 测 清 除 、 清 洗 后 流量 的 回 注 等 
功能 。 支 持 多 种 引流 方式 ， 可 以 实现 完全 动态 引流 。 支 持 多 种 回 注 方式 ， 
根据 不 同情 况 可 以 灵活 选择 。 以 动态 引流 为 例 : 


。 30K, 把 到 


E da 的 流量 给 
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。 引流 方式 有 两 种 : 

静态 引流 : 核心 设备 上 通过 路 由 方式 或 者 策略 路 由 方式 将 流量 引 到 清洗 设备 上 ; 

动态 引流 : 通过 BGP 实 现 动态 引流 。 清 洗 中 心 通过 与 核心 设备 建立 BGP 邻 居 。 通 告 一 到 
目的 地 址 的 主机 路 由 ， 将 流量 “ 骗 二 过 来 ， 清 洗 后 再 回 注 回去 。 这 条 主机 路 由 是 管理 中 心 
动态 下 发 的 一 条 静态 路 由 ， 并 且 已 经 引入 了 BGP。 
。 回 注 方式 有 如 下 几 种 : 

策略 路 由 回 注 : 通过 策略 路 由 将 清洗 后 流量 回 注 ; 

路 由 回 注 : 通过 默认 路 由 或 者 其 他 动态 路 由 方式 回 注 ; 

VPN 回 注 : 通过 GRE VYPN 或 者 MPLS VPN 方 式 回 注 ; 

二 层 回 注 : 如 果 上 下 行 在 一 个 网 段 ， 通 过 二 层 回 注 。 

清洗 设备 支持 丰富 灵活 的 攻击 防范 技术 ， 可 有 效 防范 SYN Flood、UDP Flood、CC 攻 击 、 


ICMP Flood 等 各 种 攻击 手段 。 可 以 防范 十 多 种 DDoS 攻 击 ， 主 要 包括 : SYN Flood 攻 击 、 
ICMP Fjood、UDP Flood 攻 击 、Land 攻 击 、Smurf 攻 击 、Fraggle 攻 击 、WinNuke 攻 击 、ICMP 


重 定向 或 不 可 达 报 文 等 。 同 时 将 这 些 攻击 行为 记录 在 日 志 中 。 


常 流量 量 靖 青 洗 系统 组 成 一 管 理 中 心 


管理 中 心 是 整个 方案 的 中 枢 ， 通 过 管理 中 心 将 检测 分 析 中 心 和 清洗 
中 心 连接 起 来 形成 完整 的 解决 方案 。 管 理 中 心 分 为 管理 服务 器 和 数据 采 
集 器 两 个 部 分 ， 可 安装 在 一 合 服务 器 上 ， 亦 可 安装 在 不 同 服务 器 上 。 


管理 中 心 由 1 个 管理 服 以 
_ 务 器 和 多 个 数据 采集 甩 
器 组 成 。 


一 > 设备 访 语 胎 量 
JE 党 六 半 志 & 攻击 日 志 & 
直流 量 日 志 & 抓 包 报 文 


管理 流量 


Anti-DDoS 设 备 Anti-DDoS 设 备 Anti-DDoS 设 备 
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异常 流量 清洗 解决 方案 采用 B/S 架 构 ， 部 署 简单 方便 ， 不 需 安装 客户 端 软件 即 可 完成 业 
务 的 管理 和 监控 ， 适 合 客户 多 地 域 分 散 部 署 多 台 检 测 和 清洗 设备 ， 而 通过 一 台 设 备 集中 管 
理 。 作 为 方案 管理 平台 ， 系 统 支持 SI6 检 测 设备 、0S65300ADD 和 0SG9300 清 洗 设 备 的 联动 配 
置 和 管理 。 系 统 支持 分 权 分 地 域 管理 ， 不 仅 能 作为 单 台 清洗 设备 的 管理 平台 ， 亦 可 作为 多 
全 清洗 设备 和 检测 设备 的 集中 管理 平台 

管理 中 心 设备 分 为 两 个 组 传 : 

数据 采集 器 : 一 台 清 洗 谈 备 对 应 一 台数 据 采集 器 ， 数 据 采 集 器 负责 异常 流量 清洗 业务 
数据 采集 、 解 忻 、 汇 总 、 入 诛 并 负责 将 汇总 后 的 流量 上 报 管 理 服务 器 用 以 报表 呈现 


管理 服务 器 : 负责 异常 流量 清洗 方案 设备 集中 管理 配置 及 业务 报表 呈现 。 


支持 分 布 式 部 署 集中 管理 : 数据 采集 器 和 管理 服务 器 支持 分 布 式 部 署 和 集中 式 部 署 两 
种 部 署 模式 ; 分 布 式 部 署 模式 下 具备 很 好 的 可 扩展 性 ， 管 理 服务 器 可 同时 管理 50 台 DDoS 防 
御 设 备 。 

整个 系统 基于 大 客户 管理 ， 充 分 体现 了 以 客户 为 中 心 的 管理 理念 ， 基 本 策略 都 以 策略 
模板 的 形式 呈现 ， 可 以 自由 绑 定 给 不 同 的 大 客户 。 


报表 呈现 形式 直观 、 多 样 ， 可 提供 基于 大 客户 的 报表 亦 可 提供 运营 商 报表 。 ad 
户 需 求 灵 活 定 制 报表 内 容 ， 支 持 报表 自动 导出 。 报 表 呈 现 粒 度 多 样 ， 能 满足 各 种 运 
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直路 部 署 方式 


Internet 


只 -一 全 清洗 前 流量 


DMZ Trust 了 跑 
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将 清洗 设备 直路 部 署 在 客户 网 络 中 ,。 如 果 对 可 靠 性 要 求 高 ， 可 以 部 署 主 备 方式 及 
Bypass 模 块 ， 提 供 最 佳 可 靠 性 。 

清洗 设备 也 是 根据 管理 中 心 配置 的 防御 策略 对 网 络 流量 进行 清洗 。 清 洗 中 心 将 业务 日 
志 发 送 到 管理 中 心 ， 形 成 各 类 报表 。 


稼 路 单身 静 态 引 流 部 署 方 式 


Internet 


一 人 清洗 前 流 流量 
-日 志 流 量 


一 一 一 清洗 后 流量 
Moail DMZ -+ 管理 流量 


AN 
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单 向 引流 指 仅 引流 进入 防护 网 络 的 流量 ， 基 于 单 向 流量 进行 外 部 攻击 防御 。 可 使 用 策 
略 路 由 或 者 动态 路 由 引流 。 


将 清洗 设备 旁 路 部 署 在 网 络 出 口 ， 通 过 路 由 将 到 流入 防护 网 络 的 流量 引流 至 清洗 设备 
进行 清洗 ， 清 洗 后 的 流量 回 。 清 洗 中 心 业 务 日 志 发 送 到 管理 中 心 ， 形 成 各 类 报表 。 


Internet 


清洗 前 流量 
> 日 志 流 量 


i 本 跑 清 青 洗 后 流 流量 
Mail DMZ Trust ¢ 、 一 上行 流量 





NA 
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下 行 引 流 方式 : 策略 路 由 引流 。 上 行 引流 方式 : 策略 路 由 引流 、 高 优先 级 默认 路 由 引 
流 。 这 是 一 种 逻辑 直路 的 部 署 方式 ， 相 比 于 单 向 引流 ， 这 种 来 回路 径 一 致 的 部 署 方式 可 以 
提供 全 面 的 防范 和 较 高 可 靠 性 。 


清洗 设备 芝 路 部 署 在 网 络 出口 ， 通 过 路 由 将 防护 网 络 流 入 及 流出 流量 均 引 济 至 清洗 设 
备 ， 基于 来 回路 径 一 致 对 流入 流量 进 行 令 测 和 清洗 ， 清洗 后 的 ; 充 量 回 注 入 网 络 中 。 

双向 引流 引入 流入 及 流出 两 全 方向 的 流量 ， 可 基于 会 话 等 信息 更 加 准确 的 对 攻击 进行 
防御 ; 同时 华为 基于 多 核 处 理 器 的 硬件 平台 ， 保 证 了 防御 的 高 性 能 。 


芳 路 动态 引流 部 置 方式 


Router (24 


> 雯 > 、 
清洗 中 心 
: 
~ 一 浇注 万 沉 坚 
直流 熏 。 一 游 江 后 沉 鲁 


Mail DMZ 一 氨 秦 流量 ?管理 流量 
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。 镜像 方式 
0 通过 1: 2 或 者 1: 3 分 光 方 式 引 入 检测 中 心 设备 ; 
0 在 出 口 设 备 上 使 用 端口 镜像 方式 引入 检测 中 心 设备 。 
。 引流 方式 
oO 策略 路 由 静态 引流 ; 
DBGP 动 态 引流 。 
。 回 注 方式 
oO 策略 路 由 回 注 ; 
oO 使 用 VPN 回 注 ， 可 选 MPLS VPN、GRE VPN 等 方式 回 注 ; 
0 路 由 回 注 ， 如 使 用 静态 路 由 或 者 默认 路 由 回 注 。 


镜像 、 引 流 、 回 注 方式 需要 综合 现 网 情况 灵活 选取 。 将 清洗 /检测 设备 旁 路 部 署 在 网 络 
出 口 ， 将 防护 网 络 的 下 行 流量 镜像 至 检测 设备 ; 管理 中 心 根 据 检测 结果 通知 清洗 设备 进行 
有 引流 和 清洗 。 用户 可 灵活 控制 引流 及 清洗 过 程 。 
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引流 万 案 


引流 方案 一 般 针对 于 旁 路 部 署 且 为 动态 引流 方案 。 对 城 域 网 而 言 ， 
在 城 域 网 入 口 设备 上 引流 ， 对 于 扁平 化 网 络 ， 城 域 网 入 口 设备 兼 汇 聚 设 
备 ， 采 用 动态 路 由 引流 时 会 导致 回 注 方案 复杂 化 。 


动态 | 利用 BCP 协 议 动态 | 动态 引流 ， | 回 注 方法 复杂 ， 不 能 再 | MPLSVFM 隧 道 方式 
路 由 | 引流 无 需 人 工 干 | 使 用 路 由 方式 将 流量 回 | CRE 隧 道 方式 
引流 预 注 到 原来 的 引流 点 。 策略 路 由 方式 


静态 | 手工 配置 策略 路 由 | 无 需 布 署 ”| 容易 将 大 流量 引入 到 清 | 路 由 方式 
洗 设备 ， 增 加 网 络 延 迟 | MPISVPN 隧 道 方式 
GRE 隧 道 方式 
策略 路 由 方式 
手工 配置 长 掩 码 的 回 注 方法 复杂 ， 不 能 再 %| MPLSVPN 隧 道 方式 
静态 路 由 ， 将 流量 使 用 路 由 方式 将 流量 回 | GRE 隧 道 方式 
引流 | 引 向 清洗 设备 注 到 原来 的 引流 点 。 策略 路 由 方式 
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回 注 方案 
旁 路 部 署 的 情况 下 ， 需 要 将 流量 回 注 到 原 有 了 网络 中 ， 回 注 方式 对 比 
如 下 : 从 网 络 适应 性 和 配置 难 易 程度 来 看 ， 推 荐 使 用 策略 路 由 回 注 。 


策略 路 由 “| 使 用 策略 路 | 不 依赖 与 | 中 信人 要。 党 下 在 四 六 的 多 个 转 安 迷人 所 有 网 
方式 。 | 由 回 注 | 路 由 协议 | 省 路 由 ， 玲 以 处 理 有 人 
备份 链 路 和 负载 分 担 链 路 的 情况 
MPLSVPN | VENI 省 布 署 复杂 ， 需 要 设备 支持 MPLISN、| 不 适合 扁平 
隧道 方式 | 六 区 VPN 功 能 ， 配 置 的 设备 较 多 。 | 化 组 网 
使 用 普通 路 | seg | 使 用 路 由 方式 引流 后 无 渤 再 便 用 路 | 适合 所 有 网 
路由 方式 | 由 回 注 流量 | 布 寺 村 尘 | 由 方式 回 注 ， 否 则 会 形成 名 路 。 | 络 
GRE 隘 道 | 通过 GRE 隧 | owes | ww AN 不 适合 扁平 
布 轩 简单 | 需 设备 支持 GRE 联 道 功 家 人 
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引流 与 回 注 的 组 合 方法 


引流 回 注 方法 组 合 方式 如 下 : 


流 | 
无 法 组 合 | 推荐 使 用 | 可 以 组 合 Aas 
sas 
静态 策略 、 人 >“ 二- 二 、 ~、 

路 由 引流 可 以 组 合 | 推荐 使 用 | 可 以 组 合 | 可 以 组 合 | 可 以 组 合 
路 
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a ys 
3,. 检 测 设备 配置 


ei fF si, 二 
A 


J si 
1. 首 先 建议 安装 并 
初始 化 ATIC 后 全 


a 站 
， 6. 回 注 到 此 ， 
1 需要 配置 策 


De 清洗 设备 


5. 配置 引流 回 述 
策略 箱 谱 卉 初始 


。 根 据 客户 网 络 丰 注 情况 确定 部 署 方案 
。 可 根据 实际 情况 灵活 处 理 安装 顺序 
5 .引流 前 需 确 认 回 注 策略 已 配置 正常 





Mail DMZ Trust 
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。 镜像 方式 : 

D 通过 1: 2 或 者 1: 3 分 光 方 式 引 入 检测 中 心 设备 ; 

0 在 出 口 设备 上 使 用 端口 镜像 方式 引入 检测 中 心 设备 。 
。 引流 方式 : 


策略 路 由 静态 引流 ; 
oO BGP 动 态 引 流 。 
。 回 注 方式 : 
0 策略 路 由 回 注 ; 
Do 使 用 VPN 回 注 ， 可 选 MPLS VPN、GRE VPN 等 方式 回 注 ; 
oO 路 由 回 注 , ` 如 使 用 静态 路 由 或 者 默认 路 由 回 注 。 


镜像 、 引 流 、 问 注 方式 需要 综合 现 网 情况 灵活 选取 。 


(DDoS 防御 ) 方案 的 中 枢 ， 通 过 管理 中 心 将 检测 中 心 和 清洗 中 心 连接 起 来 形成 完整 的 异常 


~ 在 
量 监管 方案 。 


流 


ATIC 后 台 服务 器 


软 硬 件 环境 ，IP 地 址 规划 ， 安 装 
文件 准备 ， 安 装 环境 确认 





Windows 操 作 系 统 组 件 ，SNMP 
用 于 监控 服务 器 性 能 等 ，FTP 用 
于 下 载 报 表 和 抓 包 文件 。 


ATIC 系 统 组 件 ， 提 供 配 置 UI， 管 
理 网 络 设备 
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简单 介绍 ATIC 管 理 中 心 在 整个 异常 流量 监管 方案 中 的 地 位 和 主要 功能 。 


ATIC (Abnormal Traffic Inspectionm & Control System) 管理 中 心 





ATIC 管 理 中 心 的 主要 功能 包括 下 面 几 项 : 

统一 管理 和 监控 检测 设备 和 清洗 设备 ; 

统一 管理 大 客户 信息 ， 配 置 大 客户 防御 策略 ; 

接收 检测 分 析 中 心 的 检测 结果 ， 进 行 汇总 分 析 ; 
根据 检测 结果 制定 引流 防御 策略 ， 下 发 到 清洗 设备 ; 
接收 清洗 设备 的 上 报信 息 ， 进 行 汇总 分 析 ; 

根据 全 面 的 分 析 数 据 ， 形 成 统计 报表 。 





四 已 证 :六 旦 
是 异常 流量 





I 
mm 


配置 出 口 核心 设备 


出 口 核心 设备 主要 是 配置 引流 方式 和 端口 镜像 。 在 处 理 路 由 的 时 候 
需要 高 度 注意 ， 避 免 引 起 路 由 环 路 。 


端口 镜像 电 接口 ， 无 光 链 路 不 “| 将 下 行 流量 镜像 到 检测 设备 即 杯 
使 用 分 光 方 式 


人 与 清洗 设备 建立 eBGP 邻 居 
况 下 


1. 旁 路 静态 引流 引流 回 注 为 同一 台 设 备 时 候 ， 需 要 使 用 策 
2. 引 流 回 注 为 同一 台 ”| 略 路 由 将 数据 包 发 往 下 行 网 络 ， 否 则 会 形 
设备 成 环 路 


- 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved Page 60 2 HUAWEI 





配置 检测 清洗 设备 


配置 与 清洗 设备 联动 ”| SIG 作 为 检测 设备 只 需 配 置 大 客户 参数 


Anti-DDos8000 检 测 板 
配置 为 检测 板 即 可 X 
配置 检测 设备 NE oot KC) 


Anti-DDos1000 检 测 “| 必须 独立 使 用 ， 无 法 混 插 
配置 引流 
于 ET 
开启 流量 统计 。 | 必 责 。 | 在 引 沈 De 


配置 远程 管理 ATIC 需 通过 telnet 或 SSH 下 发 命令 。 
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配置 检测 设备 


回 注 路 由 器 之 间 建 立 MPLS L3VPN， 将 清洗 后 的 流量 通过 MPLS L3VPN 回 注 到 原 链 路 ， 最 
后 送 到 防护 对 象 。 Anti-DDos8000 检 测 板 检 测 

在 用 户 视图 下 执行 命令 system-yjew， 进 入 系统 视图 。 

执行 命令 firewall ddos {,dete5t-spu | clean-spu } slot slot-id， 指 定 槽 位 业务 
板 为 检测 业务 板 或 清洗 业务 板 s ”保证 已 经 导入 License 的 前 提 。 

使 用 检测 设备 AntiDDoSL500=D 


ATI1C 系 统 配 置 操 作 步 骤 介 绍 


新 老 版 本 的 ATIC 系 统 登 录 方 式 不 同 
老 版 本 登录 ATIC 管 理 页 面 https://atic-server-ip/atic 
新 版 本 的 登录 方式 http://atic-server-ip 
新 版 本 有 两 种 方式 管理 ATIC 
通过 VSM 的 ATIC 管 理 组 件 管理 DDOS 系 统 
独立 安装 ATIC 业 务 管理 组 件 管理 DDOS 系 统 
缺 省 用 户 名 /口令 不 变 admin /Admin@123 
其 配置 界面 相同 
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ATIC 系 统 配置 分 为 网 络 设备 配置 和 ATIC 服 务 器 配置 ， 首 先 登录 网 络 设备 配置 接口 IP、 
工作 模式 和 登录 账号 ， 然 后 登录 ATIC 服 务 器 配置 网 络 设备 和 防御 对 象 及 防御 策略 。 


配置 网 络 设备 


配置 系统 参数 

开启 Telnet/SSH 服 务 
配置 SNMP 功 能 

配置 逻辑 接口 

配置 检测 设备 的 接口 功能 
配置 清洗 设备 的 接口 功能 
配置 混 插 设备 的 接口 功能 
指定 检测 或 清洗 业务 板 
配置 链 路 状态 检测 功能 
配置 信息 同步 功能 
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配置 系统 参数 : 系统 参数 配置 是 指 设备 上 电 成 功 后 ， 系 统 调 测 配置 。 包 括 语言 模式 、 
设备 名 称 、 系 统 时 间 、 登 录 提 示 信 息 和 命令 行 级 别 的 配置 ; 

开启 Telnet/SSH 服 务 : 开启 Anti-DBoS 设 备 的 Telnet 功 能 或 55H 功 能， 其 他 设备 可 以 通 
过 这 种 方式 远程 登录 到 Anti-DDoS 设 备 ; 

配置 SNMP 功 能 : 通过 配置 SNMP 功 能 ， 使 管理 中 心 可 以 获取 Anti-DDoS 设 备 的 状态 ; 

配置 逻辑 接口 : 介绍 Eth=Prunk 和 Loopback 接 口 的 配置 ; 

配置 检测 设备 的 接口 功能 : 当 检 测 设备 作为 Anti-DDoS 设 备 独 立 部 署 时 ， 需 要 按照 本 节 
配置 各 种 接口 功能 ; 


配置 清洗 设备 的 接 及 功能 : 当 清 洗 设备 作为 Anti-DDos 设 备 独立 部 署 时 ， 需 要 按照 本 节 
配置 各 种 接口 功能 ; 


配置 混 插 设 备 的 接口 功能 : 当 混 插 设 备 作 为 Anti-DDos 设 备 独立 部 署 时 ， 需 要 按照 本 节 
配置 各 种 接口 功能 ; 

指定 检测 或 清洗 业务 板 : 缺 省 情况 下 ， 业 务 板 类 型 为 防火 墙 业 务 板 ， 不 具有 检测 或 清 
洗 功 能 淮 用 户 需 指定 某 横 位 业务 板 为 检测 业务 板 或 清洗 业务 板 ; 

配置 链 路 状态 检测 功能 : 链 路 状态 检测 功能 用 于 报 文 来 回路 径 一 致 组 网 中 的 链 路 状态 
合法 性 检查 ， 如 TCF 连接 状态 等 ; 

配置 信息 同步 功能 : 当 检 测 设备 与 清洗 设备 分 别 作为 独立 设备 旁 路 部 署 时 ， 配 置信 息 
同步 功能 后 检测 设备 上 一 些 关 键 状态 信息 可 以 同步 到 清洗 设备 。 


配置 AT1C 服 务 器 


配置 和 业务 部 署 相关 的 内 容 主要 集中 在 资源 和 业务 两 个 菜单 里 
。 在 ATIC 管 理 页面 里 的 资源 菜单 里 添加 网 络 设 备 和 采集 器 ; 
。 在 业务 菜单 里 添加 防御 对 象 和 防御 策略 。 


DNS 种 析 茅 功 宁 ( 全 部 清 次 癌 元 ) 


闪避 以 查看 当前 于 刘 之 前 24 小 99 四 ,全 六 清洗 见 元 上 的 山 新 破 功 大 ， 
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ATI1C 配 置 步骤 -网 元 发 现 & 添 加 采集 器 


。 点击 资源 > 发 现 策略 > 创建 ， 选 用 一 种 方式 发 现 网 元 设备 ; 
。 点 击 资源 > 采集 器 管理 > 创建 ， 添 加 采集 器 。 


创建 发 现 第 路 
基本 信息 
名 他 


发 现 方式 '® 
发 现 范围: “® 


ro [CC 
管理 协议 


SNMP 模版: cetaun_SNUPv2c_ter 


Tetinet 自 板 : 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved: Page 67 SS 多 HUAWEI 


使 用 配置 向 导 


在 业务 > 快速 入 门 里 使 用 配置 向 导 ， 按 顺序 点 击 相应 图 标 即 可 进入 相应 配置 页 面 ， 
完成 配置 后 ， 需 重新 进入 快速 入 门 里 选择 下 一 步 配置 图 标 ， 进 行 下 一 步 配 置 。 


快速 入 门 
及 护 对 条 管理 
自 涩 点 周 
同 元 全 恩 本 者 
访 闪 恰 管 理 
引流 管理 
其 名 管理 
服务 俩 厂 异 性 


采集 器 关 束 同 元 
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。 常见 DDoS 攻击 技术 
。 DDOS 攻 击 防范 方案 
。 DDOS 攻 击 防 范 组 网 
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什么 是 DDOS 攻 击 ? 
DDoS 攻击 有 哪些 分 类 ? 
各 DDOS 攻 击 实现 原理 有 何不 同 ， 及 相应 防范 技术 是 什么 & 
流量 清洗 解决 方案 由 哪些 组 件 组 成 ? 
流量 清洗 解决 方案 有 哪些 组 网 方式 ? 
清洗 解决 方案 是 如 何 进 行 引 流 和 回 注 ? 
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@ 练习 题 


:六 


， 异常 流量 清洗 解决 方案 主要 由 以 下 哪些 组 件 组 成 ? 
. 管理 中 心 B. 采集 中 心 C. 检 测 中 心 
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~ 
~ 


请 六 旦 . 
常 流量 ; 


了 tt 


洗 解 决 方案 既 支 持 旁 路 部 署 又 支持 直路 部 署 。 


， 管理 中 心 B. 采集 中 心 C. 检测 中 心 


流量 清洗 解决 方案 既 支 持 旁 路 部 署 又 支持 直路 部 署 。 


X 


D .清洗 忠心 


WW huawel 





D. 清洗 中 心 


人 
Wo % 
化 


Thank you 
www.huawei.com 





HC120310007 
防火 墙 特 性 故障 排 
除 





。 学 


目标 


本 课程 后 ， 您 将 能 够 : 

握 故 障 处 理 方法 

握 安 全 策略 故障 排除 

握 防火 墙 高 级 安全 特性 故障 排除 
握 双 机 热 备 故障 排除 

握 L2TP VPN 故 障 排 除 

握 IPSEC VPN 故 障 排除 

握 SSL VPN 故 障 排除 


dd} 


Ey 
学 
过 
池 
用 
党 
汪 
党 
宇 
党 
摆 
这 
时 
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Wb huawel 


全 目录 


1. 故障 排除 方法 
1.1 故 障 处 理 思路 
1.2 故 障 处 理 方法 
安全 策略 故障 排除 
， 防火 墙 高 级 安全 特性 故障 排除 





. L2TP VPN 故 障 排除 
. IPSEC VPN 故 障 排除 
.SSL VPN 故 障 排除 
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2 
3 
4. 双 机 热 备 故 障 排除 
5 
6 
7 





故障 处 理 过 程 


2 





> 故障 检测 
呵 故障 分 析 和 诊断 \ 


























| 》| 故障 隔离 
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故障 管理 过 程 包括 对 故障 现象 进行 检测 和 分 析 ， 从 而 对 故障 进行 隔离 ， 直 到 最 后 隔离 
或 解决 故障 。 

故障 检测 : 主要 是 观察 故障 现象 ， 检 查 数 值 范围 、 数 据 正 确 性 ， 对 同类 型 的 多 个 输出 
进行 比较 检查 ， 对 心跳 检测 进行 分 时 段 检查 等 。 

故障 分 析 和 诊断 : 主要 是 采用 各 种 故障 分 析 方 法 ， 通 过 调试 工具 进行 分 析 ， 从 而 确定 
故障 发 生 的 具体 位 置 。 

故障 隔离 : 主要 是 把 检测 到 的 故障 单元 〈 或 模块 ) 隔离 到 待 修理 范围 的 过 程 。 例 如 拔 
出 故障 单 板 ， 禁 止 故 障 功能 单元 工作 ， 调 整 参数 范围 ， 修 改 转发 表 项 ， 或 重 选 路 由 等 。 

故障 恢复 : 主要 是 让 设备 暂时 恢复 到 正常 执行 功能 的 过 程 。 例 如 通过 执行 软件 复位 或 
重启 。 

故障 彻底 解决 六 主要 是 让 设备 彻底 摆脱 故障 。 例 如 更 换 故 障 单元 ， 对 软件 进行 补丁 和 
升级 。 

故障 检测 和 分 析 是 解决 故障 的 前 提 ， 分 析 方 法 随 着 时 间 和 空间 有 不 同 特点 ， 因 此 需要 
针对 不 同 网 络 环境 采取 针对 性 的 分 析 方 法 ， 从 而 高 效 地 发 现 故 障 。 


网 络 故障 的 分 类 


连通 性 问题 


o 硬件 、 媒 介 、 电 源 故障 
o 配置 错误 
o 不 正确 的 相互 作用 


o 网 络 拥塞 

o 到 目的 地 不 是 最 
佳 路 由 

o 供电 不 足 

o 路 由 环 路 

o 网 络 错误 


.网 络 故障 分 类 
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类 
人 
三 
三 
配 
鼠 
贡 
返 





分 层 处 理 法 思想 


当 模型 的 所 有 低层 结构 工作 正常 时 ， 它 的 高 层 结构 才能 正常 工作 


排 错 思路 





o 通 过 某 种 介质 提供 到 另 一 
设备 的 物理 连接 

o 进 行 端点 间 二 进 制 流 的 发 
送 与 接收 

o 完 成 与 数据 链 路 层 的 交互 
操作 


4 在 网 络 层 与 物理 层 之 间 进 

行 信息 传输 

4 规定 介质 如 何 接 入 和 共享 

规定 如 何 对 站 点 进行 标识 

规定 如 何 根据 物理 层 接收 
三 | 册 拔 寻 已 


o 对 数据 进行 分 段 、 \'€ 
重组 ; 

o 发 送 差错 报告 s 

5 寻找 通过 网 络 的 最 佳 路 径 
来 发 送信 息 














o 关 注 因素 包括 : 电缆 、 连 
接头 、 信 号 电 平 、 编 码 、 
时 钟 、 组 帧 方式 。 








o 封 装 不 一 致 ， 如 display 
interface 显 示 端 口 物理 状态 
是 up 而 协议 状态 是 down， 
则 数据 链 路 层 存 在 故障 

o 链 路 的 利用 率 ， 如 链 路 带宽 
被 过 度 使 用 








o 地 址 错误 和 子 网 掩 码 错误 
如 因特网 络 中 的 地 址 重复 
o 路 由 协议 错误 
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排除 网 络 层 故障 的 基本 方法 是 : 


沿 从 源 节点 到 目的 节点 的 路 径 ， 查 看 各 路 由 器 上 的 路 由 表 ， 同 时 检查 这 


的 IP 地 址 。 


通常 ， 如 果 路 由 没有 在 路 由 表 中 出 现 ， 应 该 检查 是 否 已 经 配置 了 正确 的 静态 路 由 、 缺 
省 路 由 或 动态 路 由 ， 如 果 不 是 ， 手 下 配置 丢失 的 路 由 或 排除 动态 路 由 协议 故障 使 路 由 表 更 


新 。 


Wb huawel 








文 些 路 由 器 接口 


接 入 部 分 “〈 主 控制 
台 、Telnei 登 录 、 


拨号 等 ) 
其 他 应 用 部 分 


管理 部 分 (路 由 
通过 display 器 名 称 、 口 令 、 
current- 最 务 、 日 志 等 ) 
configuration 命 令 PF 
\、 了 解 路 由 器 。 [全 (tb 者 
绩 咯 部 分 (路 由 配置 // 
策略 、 策 略 路 由 i 
安全 配置 等 ) /路 由 协议 部 分 AR 
(静态 路 由 、RIP、 
OSPF、BGP、 路 由 引 


等 ) 





入 等 ) 
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例如 : 执行 display ip routing-table 命 令 写 显示 结果 中 只 包含 直 连 路 由 ， 那 么 问题 可 
能 发 生 在 哪里 呢 ? 


从 上 述 的 配置 文件 分 块 中 可 以 看 到 兴 有 三 类 原因 可 能 引起 该 故障 : 
路 由 协议 : 如 果 没 有 配置 路 由 协议 或 配置 不 当 ， 路 由 表 可 能 为 空 ; 


策略 : 如 果 访问 列表 配置 错误 ， 权 能 导致 路 由 不 能 正常 更 新 ; 


端口 : 如 果 端 口 的 地 址 、 引 码 或 认证 配置 错误 ， 也 可 


人 tb 己 


能 导致 路 由 表 错 误 。 


将 大 的 网 络 拆 分 成 小 段 分 别 排查 


令 


主机 到 路 
由 器 / 交 
换 机 的 

LAN 接 口 


路 由 器 / 交 | | 防火 墙 到 
换 机 到 防 | | 电信 部 门 











蔡 换 法 


。 蔡 换 法 是 判断 硬件 故障 时 最 常用 的 方法 。 





怀疑 故障 的 单 板 
或 设备 








正常 的 单 板 或 设 
备 
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四 多 huawel 





全 目录 


Ts 





2 
3 
4. 
5 
6 
7 


故障 排除 方法 
1.1 故 障 处 理 思路 
1.2 故 障 处 理 方法 





安全 策略 故障 排除 
， 防火 墙 高 级 安全 特性 故障 排除 


双 机 热 备 故障 排除 


. L2TP VPN 故 障 排除 
. IPSEC VPN 故 障 排除 
.SSL VPN 故 障 排除 
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故障 处 理 方法 


查看 配置 文件 
查看 设备 状态 
查看 协议 表 项 


告警 与 日 志 


qa 当 设 备 发 生 故 障 或 系统 工作 状 
态 异 常 时 ， 系 统 能 够 产生 告警 
信息 。 

a 介绍 日 志 信 息 的 分 类 以 及 输出 
方式 、 告 警 信息 的 显示 。 
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VRP 平 台 ping 介 绍 


mm Ping，Tracert 测 试 报 文 从 发 送 
主机 到 目的 地 所 经 过 的 网 关 ， 
主要 用 于 检查 网 络 连接 是 否 可 
达 ， 以 及 初步 定位 网 络 发 生 铅 
障 的 位 置 。 


抓 包 功 能 和 Depbug 工 上 只 


ma 抓 包 是 一 种 将 通过 设备 的 数据 
报 文 捕获 到 PE 上 的 方法 ， 通 
过 分 析 抓 到 的 包 可 以 详细 了 解 
数据 包 的 实际 内 容 。 





ping [ -a source-ip-address | -c county -s packetsize | -ttimeout ] * host 
-a Source-ip-address: 设置 发 送 ICMP Echo Request 报 文 的 源 IP 地 址 。 
-C count: 设置 发 送 ICMP Echg Reduest 报 文 的 次 数 ， 缺 省 值 为 5。 


-S packetsize: 设置 发 送 ICMP Echo Request 报 文 的 长 度 (不 包括 IP 和 ICMP 报 文 


头 ) ， 以 字 贡 为 单位 ， 缺 省 值 为 56。 


— 


-ttimeout: 设置 ping 报 交 的 超时 时 间 ， 缺 省 值 为 2000ms。 


VRP 平 台 traceéit 介 绍 


tracert [ -a souree-ip-address | -f first-TTL | -m max-TTL | -p port | -q nqueries | -w 


timeout ] * host 


-a SOurce-ip:address: 设置 tracert 报 文 的 IP 地 址 。 


-ffirst-TTL: 设置 初始 TTL。 
host 目的 主机 的 IP 地 址 。 


Wb huawel 


查看 配置 文件 


通过 display 相 关 命 令 检查 配置 文件 的 信息 。 
在 日 常 维护 工作 中 ， 可 以 在 任意 视图 下 选择 执行 以 下 命令 。 


6 


查看 配置 文件 信息 。 
查看 配置 文件 信息 的 相关 操作 


查看 当前 配置 文件 


" display current-configuration 
查看 设备 下 次 启动 时 加 载 的 配置 文件 的 内 容 


" display saved-configuration 
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查看 设备 信息 


查看 版 本 信息 

通过 display version 命 令 可 以 获取 设备 软件 运行 版 本 、BootROM 版 
本 及 各 种 存储 器 的 大 小 。 故 障 设备 使 用 的 系统 软件 的 版 本 是 进行 定 
位 的 重要 信息 。 

查看 接口 信息 

通过 display interface/display ip interface 等 命令 可 以 查看 接 日 的 状 
态 信息 。 常 用 于 设备 接口 对 接 故 障 、 查 看 报 文 丢 包 统计 。 

查看 硬件 状态 信息 

通过 display device/display environment 命 令 可 以 查看 设备 各 部 件 
( 主 控 板 、 单 板 、 风 扇 、 电 源 等 ) 的 运行 状态 及 内 存 CPU 的 使 用 率 
， 通 常 在 硬件 发 生 故 障 时 使 用 。 
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查看 会 话 表 


查看 会 话 表 简要 信息 
通常 使 用 display firewall session table 命 令 查看 所 有 的 会 话 的 


百 ,Eo 


查看 会 话 表 详细 信息 

通常 使 用 display firewall session table verbose 命 令 

会 话 表 的 详细 信息 ， 如 存活 时 间 、 下 一 跳 接 月 \ 该 会 i 
节 数 统计 等 。 
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查看 会 话 表 简 要 信息 
通常 使 用 display firewall session table@ 命 令 查 看 所 有 的 会 话 的 简要 信息 。 


























证 





<sysname> display firewall session table Current Total Sessions : 4 icmp VPN:public --> 
public Remote 192.168.1.1:43985-->192M68.2.2:2048 telnet VPN:public --> public 
192.168.3.1:2855-->192.168.3.2:23 netbios-name VPN:public --> public 192.168.3.4:137-- 
>192.168.3.255:137 http VPN:public --> public 192.168.3.8:2559-->192.168.3.200:80 


查看 会 话 表 详 细 信息 


De 


通常 使 用 display fifewWall session table verbose 命 令 可 以 查看 会 话 表 的 详细 信息 ， 如 存活 时 
间 、 下 一 跳 接口 、 该 会 话 的 字 节 数 统计 等 。 









































<sysname> display firewall session table verbose Current Total Sessions : 1 telnet 
VPN:public --> publicsTTL: 00:10:00 Left: 00:10:00 Interface: InLoopBack0 NextHop: 127.0.0.1 
MAC: 00-00-00-00-00-00 <--packets:1269 bytes:66769  -->packets:1081 bytes:43715 
128.18.196.6:2855-:>128.18.196.200:23 


Ping 与 Tracert 


。 Ping 命 令 用 于 检查 网 络 连接 及 主机 是 否 可 达 。Tracert 命 令 用 
于 测试 数据 报 文 从 发 送 主 机 到 目的 地 所 经 过 的 网 关 。 


。 Ping 简 介 % 


o Ping 命 令 主要 用 于 检查 网 络 连 接 及 主机 是 否 可 达 
。Ping 命 令 格式 
o ping [ip ] [ -a source-ip-address | -c count | -f | -Spacketsize | -t 
timeout host 
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Ping 简 介 


Ping 命 令 主要 用 于 检查 网 络 连接 及 主机 是 否 可 达 。Ping 功 能 是 基于 ICMP 协 议 来 实现 的 源 端 
向 目的 端 发 送 ICMP 回 显 请 求 (ECHO-REQUEST ) 报 文 后 ， 根 据 是 否 收 到 目的 端的 ICMP 回 显 应 答 
CECHO-REPLY) 报 文 来 判断 目的 端 是 否 可 达 。 对 于 可 达 的 目的 端 ， 再 根据 发 送 与 接收 报 文 个 数 
、Ping 报 文 的 往返 的 响应 时 间 来 判断 链 路 的 质量 。 


Ping 命 令 格式 

命令 参考 手册 提供 了 命令 的 详细 使 用 方法 ， 这 里 只 对 常用 的 参数 进行 解释 说 明 。 
ping [ip ] [ -a source-ip-address | -c count| -{f | -s packetsize | -t timeout ]* host 
-a: 设置 发 送 ECHO-REQUEST 报 文 的 源 IP 地 址 ， 通 常 在 测试 VPN 时 使 用 。 
-C: 发 送 ECHO:REQUEST 报 文 的 次 数 ， 缺 省 为 5。 

-f; 设置 发 送 的 报 文 不 分 片 ， 中 间 如 果 MTU 值 小 于 报 文大 小 会 丢弃 该 报 文 。 


-t， 为 发 送 完 ECHO-REQUEST 后 ， 等 待 ECHO-RESPONSE 的 超时 时 间 。 在 网 络 状 况 不 好 的 
情况 下 ， 可 以 适当 改 头 该 参数 。 缺 省 为 28， 即 2s 内 没有 收 到 回复 报 文 即 认为 目的 不 可 达 。 


-S:/ 设置 报 文大 小 〈 不 含 IP 和 ICMP 头 ) 。 
host: 可 以 是 IP 地 址 或 域名 ， 如 果 是 域名 会 首先 进行 DNS 解析 ， 并 显示 解析 后 的 IP 地 址 。 







































































































































































































































































Ping 与 Tracert 


Tracert 简 介 

ping 可 以 告诉 用 户 目标 是 否 可 达 ， 而 tracert 命 令 用 于 测试 数据 包 从 
发 送 主机 到 目的 地 所 经 过 的 设备 ， ee 
以 及 分 析 网 络 什么 地 方 发 生 了 故障 。 


Tracert 命 令 格式 





tracert [ -a source-ip-address | -f first-tt| | -m maxc-ttl | :Psport | -gq 
nqueries | -vpn-instance vpn-instance-name | -w timeout ] * host 


-a: 指明 本 次 tracert 命 令 配置 的 报 文 源 地 址 
-W: 等 待 响应 报 文 的 超时 时 间 。 
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Tracert 命 令 格式 


tracert [ -a source-ip-address | -ffirst-ttl Im maxc-ttl | -p port | -q nqueries | -vpn-instance vpn- 
instance-name | -w timeout ] * host 


-a: 指明 本 次 tracert 命 令 配置 的 报 文 源 地 址 
-W: 等 待 响应 报 文 的 超时 时 间 。 








抓 包 功能 


。 抓 包 是 一 种 将 通过 设备 的 数据 报 文 捕获 到 PC 上 的 方法 ， 通 过 分 析 抓 
到 的 包 可 以 详细 了 解数 据 包 的 实际 内 容 。 
o 本 地 抓 包 : 将 负责 解析 的 PC 直接 连接 在 设备 的 以 太 网 口上 。 这 种 方式 
对 网 络 冲 击 较 少 ， 需 要 PC 直 连 设备 。 
o 远程 抓 包 : 设备 将 内 容 发 送 到 远 端的 PC 上 。 要 求 设备 与 PC 互通 即 可 ， 
但 是 会 占用 带宽 。 


本 地 抓 包 远程 抓 包 


PC 


GE 0/0/2 
8 obseving-port g < 
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。 本 地 抓 包 : 


设备 上 配置 观测 口 (与 PC 直 连 的 接口 》 ， 端 口 镜 像 功能 会 将 被 监控 口 的 数据 复制 到 该 
接口 。 


[sysname] observing-port GigabitEthernet 0/0/2 

设备 上 配置 镜像 口 ( 待 监控 的 接 国 ) 

[sysname] port-mirroring GigabitEthernet 0/0/1 both GigabitEthernet 0/0/2 
。 远程 抓 包 : 

定义 要 抓 包 的 范围 ， 这 里 以 抓 所 有 源 地 址 为 192.168.1.0 网 段 的 报 文 为 例 。 

[sysname-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 

如 下 命令 配置 将 符合 acl3000 的 所 有 经 过 接口 的 IPv4 报 文 放 入 发 送 队列 中 。 

[sysname] packet-capture ipv4-packet 3000 interface GigabitEthernet 0/0/1 

启动 抓 包 功 能 。 

[USG] packet-capture startup manual 

将 指定 抓 包 队 列 保存 为 1.cap 文 件 到 设备 上 ， 默 认 存 放 盘 符 是 hda1 。 

[USG] packet-capture queue 0 to-file 1.cap 

用 户 通 过 FTP 服 务 从 设备 上 下 载 1.cap 文 件 ， 使 用 抓 包 软 件 打开 。 


Debugging 


。 执行 命令 terminal monitor， 启 用 终端 显示 信息 功能 。 


o 缺 省 情况 下 ， 未 启用 控制 台 或 终端 的 显示 信息 功能 。 该 命令 只 对 
当前 输入 命令 的 终端 有 效 。 


。 执行 命令 terminal debugging， 启 用 终端 显示 Debugging 信 息 
功能 。 
o 缺 省 情况 下 ， 未 启用 控制 合 或 终端 显示 Debugging 信 息 荔 能 。 

。 打开 调试 开关 
o Debugging [Protocol] 
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全 目录 


故障 排除 方法 

安全 策略 故障 排除 
防火墙 高 级 安全 特性 故障 排除 
， 双 机 热 备 故 障 排除 

. L2TP VPN 故 障 排除 

. IPSEC VPN 故 障 排除 

.SSL VPN 故 障 排除 
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略 导 致 业务 不 通 故障 排除 思路 





.规则 配置 错误 
世 、 己 
(GO ACL 配 置 错误 .规则 顺序 配置 错误 


| wena pop 
© 域 间 应 用 错误 “二 ， OD 


.: 域 间 方 ~ 





原因 一 : ACL 配 置 错误 


。 执行 命令 display policy interzone ， 查 看 ACL 配 置 : 


<USG> display policy interzone untrust trust inbound 
policy interzone trust untrust inbound 
firewall default packet-filteris deny 
policy 0 (2478 times matched) 

action deny 

policy service service-set ip 

policy Source any 

policy destination any 
policy 1 (0 times matched) 

action permit 

policy service service-set ip 
policy source 1.1.1.0 0.0.0.255 
policy destination 2.2.2.0 0.0.0.255 
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检查 规则 中 的 源 、 目 的 或 源 端口 、 目 的 端 目 配置 是 
policy 按 照 先后 顺序 依次 执行 ， 默 认 域 间 策 略 最 后 执行 。 
但 是 可 以 通 


否 有 误 。 规 则 的 执行 顺序 为 : 


默认 情况 下 号 码 小 的 排 在 前 面 ， 
过 policy move 命 令 来 调整 顺序 (号 码 保持 不 变 )。 


根据 流量 经 过 


域 的 安全 级 
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原因 二 : 域 间 应 用 错误 


丁 命令 display policy interzone ， 查 看 域 间 包 过 滤 情 况 : 


<USG> display policy interzone untrust trust inbound 
policy interzone trust untrust inbound 


firewall default packet-filter is deny 
policy 0 (0 times matched) 
action permit 
policy service service-set ip 
policy source 1.1.1.0 0.0.0.255 
policy destination 2.2.2.0 0.0.0.255 
policy 1 (2478 times matched) 
action deny 
policy service service-set ip 
policy source any 


policy destination any 
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半 防 火 墙 的 两 个 接口 所 在 的 域 , 选择 在 合适 
I 及 包 过 滤 的 源 、 目 的 地 址 段 ， 选 择 合理 的 域 间 方 向 。 


X 


WW huawel 


的 域 间 应 用 规则 。 根 据 各 安全 


案例 : 包 过 渡 配 置 问题 导致 网 页 打开 慢 


一 
Web Sev 


PC 通过 NAT Outbound 访 问 Web Server; 
o 通过 精确 的 ACL 严 格 控制 PC 可 访问 的 Web Server 地 址 范围 ; 
oO 访问 部 分 网 站 速度 慢 ， 有 时 打开 一 个 网 页 需要 20 多 秒 。 
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案例 : 包 过 滤 配 置 问题 导致 网 页 打开 慢 


。 原因 分 析 


2011-02-21 15:34:07,381124 172.20.21, 218.200.227 HTTP GET /html/js/search/thickbox-compressed, js HTTP/L,O 


2011-02-21 15:24:41.636090 172.20.36.83 E03. 208. 39.¢ HTTP GET /ga,js HTTP/1.0 a 


。 解决 方法 
oO 将 ga.js 文 件 所 在 的 IP 地 址 203.208.39.XX 加 入 到 AGL 的 运行 范围 


0° 
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原因 分 析 


在 出 现 问题 的 PC 上 抓 包 : 可 以 看 到 PG 在 请 求 完 window.js 后 ， 过 了 21 秒 才 去 请 求 下 一 
个 文件 thickbox-compressed.js ， 问 题 应 该 就 在 这 里 ; 

绕 过 FW 在 访问 正常 的 PC 上 抓 包 2 发 现 PC 请 求 window.js 和 thickbox-compressed.js 之 
间 还 请 求 了 ga.js 文 件 ， 而 这 个 文件 所 在 地 址 发 生 了 变换 ， 并 且 变 换 后 地 址 并 不 在 ACL 人 允许 
范围 ， 所 以 PC 多 次 请 求 203.208.39,XX 地 址 ga.js 文 件 没 有 结果 后 ， 转 向 其 他 IP 请 求 其 他 文 
件 ， 从 而 导致 网 页 打开 慢 。 


全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
3.1 NAT 故 障 排 除 

3.2 攻击 防范 故障 排除 

3.3 限 流 策略 故障 排除 

双 机 热 备 故障 排除 

L2TP VPN 故 障 排除 

IPSEC VPN 故 障 排除 


SSL VPN 故 障 排除 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserveds Page 30 


源 地 址 转换 故障 排除 思 


.安全 策略 Rule 错 误 
汗 : 虑 4 圭 汪 
(JJ 域 间 包 过 滤 错 误 。 . 域 间 应 用 错误 


. 感 兴趣 流量 匹配 错误 入 
-NAT 域 间 应 用 错误 
© NAT 配 置 错 误 。 .配置 No -Pat 参 数 错 i 
基于 源 IP 地 址 转换 .策略 执行 顺序 错误 
常见 故障 
© wn 沁 
路 由 问题 .外 网 路 由 


by huawel 





源 地 址 转换 故障 排除 (一 ) 


。 原因 一 : 域 间 包 过 滤 错 误 
。 原因 二 : NAT 配 置 错误 


nat-policy interzone trust untrust outbound 
policy0 

action source-nat 

policy source 192.168.1.00.0.0.255 
aQddress-group 1 
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: 域 间 包 过 滤 错 误 
ACL 配 置 错误 (详情 请 参看 包 过 滤 故 障 排除 ) ; 
域 间 应 用 错误 〈 详 情 请 参看 包 过 滤 故 障 排除 ) 。 
原因 二 : NAT 配 置 错误 


感 兴趣 流量 匹配 错误 : 配置 策略 时 ， 需 要 配置 流量 的 Source、destination 及 service- 
t， 来 定义 需要 进 和 本 NAT 转换 的 流量 。 只 有 对 策 络 略 中 的 感 兴趣 流量 进 J 了 NAT 和 转换， 否则 不 
nh ; 


域 间 应 用 错误 : 策略 要 在 合适 的 域 间 应 用 ， 并 且 域 间 的 方向 要 选择 正确 ， 一 般 情况 下 
， 是 由 trust 到 untrust 的 outbound 方 向 ; 


配置 no-pat 参 数 错误 : 配置 no-pat 参 数 后 ， 会 对 内 、 外 网 地 址 进行 一 对 一 的 转换 ， 外 
网 地 址 用 完 后 ， 不 会 再 对 内 网 地 址 进行 转换 。 这 种 情况 ， 会 造 出 部 分 内 网 终端 间断 行 不 能 
上 网 的 现象 


策略 执行 顺序 错误 : 配置 多 个 策略 时 ， 默 认 执 行 顺序 根据 编号 从 小 到 大 依次 执行 。 可 
以 通过 policy move 命 令 修改 执行 顺序 。 


源 地 址 转换 故障 排除 (二 ) 
原因 三 : 路 由 问题 


<USG> display nat-policy interzone trust untrust inbound 
nat-policy interzone trust untrust inbound 
firewall default packet-filter is permit 
nat-policy 0 (23424 times matched) 
action source-nat 

nat-policy source address-set a (group) 
address-group 1 no-pat 

nat-policy 5 (0times matched) 

action source-nat 

nat-policy source address-set b (group) 
address-group 2 
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原因 三 : 路 由 问题 


内 网 路 由 问题 : 终端 不 能 上 网 ， 从 防火 墙 上 看 没有 该 终端 的 会 话 ， 一 方面 的 原因 可 能 
是 因为 包 过 滤 的 问题 ， 另 外 也 可 能 是 该 终端 的 报 文 没有 到 达 防 火 墙 ， 属 于 内 网 路 由 问题 ; 
外 网 路 由 问题 : 运营 商 路 由 问题 


源 地 址 转换 故障 排除 〈 三 ) 


。 原因 四 : 特殊 应 用 场景 
oO 多 通道 协议 : 如 : FTP、MSN、PPTP、RSTP 等 ， 需 要 在 域 间 开 
启 NAT ALG 功 能 ， 目 的 是 识别 多 通道 协议 ， 并 自动 转换 报 文 载荷 
中 的 IP 地 址 和 端口 信息 ; &X 
5 域内 NAT: 应 用 在 域内 ， 配 置 与 域 间 NAT 相 同 ， 主 要 应 用 场景 如 下 
图 所 示 。 


每 


= RSAC 
NAT Server 


FW 
~ Server 二 
~ 


r 
~ 
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目的 地 址 转换 故障 排除 


_，、、 us “安全 策略 Rule 错 误 


.Zone 参数 匹配 错误 


© Wr save eure 
基于 目的 IP 地 址 转 Ce 
换 常见 故障 


.内 网 路 
路 由 问题 me 
© 端口 问题 





目的 地 址 转换 故障 排除 


。 原因 一 : 域 间 包 过 滤 错 误 
。 原因 二 : 目的 地 址 转换 配置 错误 
。 原因 三 : 路 由 问题 
。 原因 四 : 端口 问题 
<USG2200>dis cur | in nat server 
nat server 0 global 1.1.1.1 inside 192.168.255.1 no-reverse 
nat server 1 global 2.2.2.2 inside 10.0.0.1 
<USG2200>dis firewall server-map 
Nat Server, ANY -> 1.1.1.1[192.168.255.1], Zone: --- 
Protocol: ANY(Appro: ---), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> public 
Nat Server, ANY -> 2.2.2.2[10.0.0.1], Zone: --- 
Protocol: ANY(Appro: ---), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> public 
Nat Server Reverse, 10.0.0.1[2.2.2.2] -> ANY, Zone: --- 
Protocol: ANY(Appro: ---), Left-Time: --:--:--, Addr-Pool: --- 
VPN: public -> public 
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原因 一 : 域 间 包 过 滤 错 误 

ACL 配 置 错误 (详情 请 参看 包 过 滤 故 障 排除 ) ; 
域 间 应 用 错误 〈 详 情 请 参看 包 过 滤 故 障 排除 ) 。 
原因 二 : 目的 地 址 转换 配置 错误 


zone 参数 配置 错误 : 配置 Zhe 参数 后 ， 只 对 经 过 该 安全 域 的 流量 进行 地 址 转换 。 一 般 
用 在 双 出 口 或 多 出 口 的 场景 , 荫 方 问 流量 要 经 过 相关 的 安全 域 ; 


VRRP 参 数 配置 错误 : glebal 地 址 与 VRRP 虚 地 址 在 一 个 网 段 时 ， 需 要 添加 该 参数 。 


no-reverce 配 置 错 误 :添加 该 参数 后 ，NAT Server 不 会 添加 反 向 静态 Server-map 表 项 
。 访 问 内 网 服务 器 时 回 包 [匹配 会 话 ， 而 服务 器 不 能 主动 访问 外 网 ， 除 非 配 置 源 地 址 转换 。 


原因 三 : 路 由 问题 


内 网 路 内 问题 : 如 果 可 以 查看 有 server-map 正 向 回话 的 匹配 ， 但 没有 反 向 匹配 ， 需 要 
查看 到 内 网 的 路 由 问题 ; 


外 网 路 由 问题 : 运营 商 路 由 配置 问题 。 
原因 四 : 端口 问题 


特定 端口 被 阻 断 : 做 端口 的 目的 地 址 转换 后 ， 有 时 特定 端口 会 被 阻 断 ， 目 前 发 现 较 多 
的 情况 有 80、8080、8000 端 口 


多 通道 协议 场景 : 查看 是 否 配置 NAT ALG。 











案例 : NAT Server 双 出 口 问题 (一 ) 


on 
“es 58.23.90.X 10.1.11.206 
G0/0/ 


Fe 205.3.X FW L2-Switch 


。 组 网 说 明 
o 121.205.3.X。 联 通 地 址 58.23.90.X 和 电信 地 址 121.205.3. Sa 
端口 分 别 映射 至 et 要 求 联通 用 户 通 过 联通 地 
址 访问 ; 电信 用 户 通过 电信 地 址 访问 。 
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案例 : NAT Server 双 出 口 问题 (二 ) 


。 故障 现象 
Do nat server 及 路 由 配置 如 下 : 
nat server 14 protocol tcp global 121.205.3.X 8008 inside 10.1.11s206 
8008 no-reverse ; 
nat server 15 protocol tcp global 58.23.90.X 8008 inside 10.1.41.206 
8008 no-reverse ; 
两 条 静态 路 由 ， 路 由 优先 级 均 为 默认 值 60。 
o 通过 电信 公 网 地 址 可 以 访问 内 部 服务 器 ， 但 通过 联通 公 网 地 址 无 法 
访问 。 
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案例 : NAT Server 双 出 口 问题 (三 ) 


。 处 理 过 程 
o 排除 包 过 滤 、NAT Server 等 配置 问题 。 
oO 去 掉 联 通 地 址 到 内 网 地 址 的 映射 ，ping 联 通 地 址 可 以 通 ， 且 防火 墙 生 可 
直接 ping 通 服务 器 内 网 地 址 ， 排 除 路 由 问题 。 人 
o 将 联通 映射 端口 改 为 10000 到 8008，telnet 内 容 服 务 器 的 10000 端 日 ， 
不 通 ， 排 除 联 通 限 制 8008 端 口 。 
oO 联通 访问 内 容 服 务 器 时 ，FW 上 查看 会 话 ， 确 认 回 包 走 电信 和 链 路 ; 


tcp VYVPN:public 一 ”public 
Zone: untrust——> trust TIL: 00:00:05 Left: 00:00:03 
Interface: Vlanifl NextHop: 10.1.100.1 MAC: 80-fb-06-b0-0d-4d 
<-—packets:0 bytes:0 —->packets:l1 bytes:60 
218.17.167.151:2066-->58. 23. 90. 58:8008[10.1. 11. 206:8008] 


tcp VPN:public 一 > public 

Zone: trust 一 >” untrust TIL: 00:00:05 Left: 00:00:03 

Interface: GigabitEthernet0/0/0 NextHop: 121.205.3.1 MAC: 
00-e0-fc-65-0c-01 » 

<-——packets:0 bytes:0 一 >packets:1 bytes:64 

10. 1. 11. 206:8008[58. 23. 90. 58:8008]-->218. 17. 167. 151:2066” 
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案例 : NAT Server 双 出 口 问题 (三 ) 


。 原因 分 析 
0 联通 用 户 发 起 请 求 ， 回 复 的 报 文 走 电 信和 链 路 ， 运 营 商 的 链 路 上 可 能 会 存 
在 链 路 状态 检测 的 安全 设备 (并 不 是 所 有 的 运营 商 链 路 都 会 存在 这 种 设 
备 ) ， 这 种 设备 会 将 来 回路 径 不 一 致 的 报 文 丢弃 ， 从 而 导致 业务 太一 。 


。 解决 方法 
0 FW 上 配置 联通 、 电 信和 网 段 的 精确 路 由 。 这 种 解决 方法 配置 的 污 作 量 太 大 
， 不 易 维 护 ， 而 且 如 果 联 通用 户 通过 访问 电信 的 公 网 地 址 来 访问 内 外 业 
务 ， 同 样 会 出 现 来 回路 径 不 一 致 的 问题 ; 
口服 务 器 上 配置 备用 IP， 联 通 、 电 信 公 网 地 址 分 别 映射 不同 的 服务 器 地 址 . 
同时 ，FW 上 做 策略 路 由 ， 区 分 访问 不 同 内 网 地 址 的 流量 ， 从 相应 的 链 路 
返回 。 
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全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
3.1 NAT 故 障 排除 

3.2 攻击 防范 故障 排除 

3.3 限 流 策略 故障 排除 

双 机 热 备 故障 排除 

L2TP VPN 故 障 排除 

IPSEC VPN 故 障 排除 


SSL VPN 故 障 排除 
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攻击 防范 故障 排除 思路 


.功能 未 开启 

.目标 设置 错误 
流量 型 攻击 防范 故障 。 .相关 功能 配置 错误 

-设置 闭 值 不 合理 


攻击 防范 常见 故障 


© | RS 
单 包 型 攻击 防范 故障 。 功能 未 开启 


令 , 
SN 
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流量 型 攻击 防范 故障 排除 


。 基于 ICMP、UDP 的 攻击 防范 
oO 基于 ICMP 的 单 包 攻击 : ping-of-death、large-icmp、icmp- 
redirect、tracert、icmp-unreachable、smurf 

o 基于 UDP 的 单 包 攻 击 : fraggle 以 
=。 排 错 步骤 一 : 攻击 防范 开关 是 否 开 。 

D 基于 ICMP 的 泛 洪 攻击 : icmp-flood 

oO 基于 UDP 的 泛 洪 攻击 : udp-flood 
=。 排 错 步骤 一 : 对 应 的 攻击 防范 开关 是 否 开启 ; 


= 排 错 步骤 二 : 对 应 的 需要 保护 的 目的 接口 或 者 目的 域 是 否 配置 正确 ,是 
否 正确 配置 基于 会 话 的 速率 限制 ; 
" 排 错 步骤 三 : 设置 的 阀 值 是 否 合理 。 
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基于 接口 的 ICMP Flood 攻 击 防范 功能 不 能 应 用 在 交换 口上 。 在 物理 接口 和 逮 辑 接口 绑 
定 的 情况 下 ， 应 将 攻击 防范 应 用 在 最 高 级 别 的 逻辑 接口 上 ， 攻 击 防范 才能 生效 。 例 如 : 将 
物理 接口 ADSL 接 口 和 逮 辑 接口 VE 接口 绑 疏 ， 再 将 VE 接口 和 Dialer 接 口 绑 定 ， 则 需 将 攻击 

范 应 用 在 Dialer 接 口 ， 攻 击 防范 才能 生效 。 


基于 安全 区 域 的 ICMP Flood 攻 击 防范 功能 按 该 安全 区 域 发 送 的 ICMP 报 文 总 量 来 判断 
是 否 超出 阐 值 。 配 置 基 于 会 话 的 ICMP 速 率 限 制 ,可 以 针对 每 条 会 话 设 定 一 个 ICMP 报 文 速率 
阅 值 。 当 USG 发 现 会 话 的 报 洋 速度 超过 设 定 的 阅 值 时 ， 则 认为 发 生 攻 击 ， 锁 定 此 会 话 ， 后 
续 此 会 话 的 报 文 不 再 允许 报 文通 过 。 当 此 会 话 连续 3 秒 或 者 3 秒 以 上 没有 流量 时 ， 解 锁 此 会 
话 ， 后 续 此 会 话 的 报 文 可 以 继续 通过 。 


攻击 防范 故障 排除 思路 


。 基于 TCP 的 攻击 防范 
Do 基于 TCP 的 单 包 攻 击 : land、winnuke、tcp-flag 
a 排 错 步骤 一 : 攻击 防范 开关 是 否 开启 
Do 基于 TCP 的 泛 洪 攻击 : syn-flood 4 
a 排 错 步 骤 一 : 对 应 的 攻击 防范 开关 是 否 开启 
a 排 错 步骤 二 : 是 否 开启 反 向 源 探测 、TCP 代 理 功 能 
a 排 错 步 骤 三 : 是 否 配置 包 或 会 话 的 间隔 时 间 ， 时 间 配 置 是 否 合 理 
。 基于 IP 的 攻击 防范 
Do 基于 IP 的 选项 攻击 : route-record、source-route、time-stamp 
a 排 错 步 骤 一 : 攻击 防范 开关 是 否 开启 
Do 基于 IP 的 路 由 攻击 : ip-spoofing 
a 排 错 步骤 一 : 对 应 的 攻击 防范 
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基于 接口 的 SYN Flood 攻 击 防范 功能 不 能 应 用 在 交换 口上 。 在 物理 接口 和 逻辑 接口 绑 
定 的 情况 下 ， 应 将 攻击 防范 应 用 在 最 es 攻击 防范 才能 生效 。 例 如 : 将 
物理 接口 ADSL 接 口 和 逻辑 接口 VE 接口 绑 县 ， 再 将 VE 接口 和 Dialer 接 口 绑 定 ， 则 需 将 攻击 
防范 应 用 在 Dialer 接 口 ， 攻 击 防范 才能 生效 。 


基于 安全 区 域 的 SYN Flood 攻 击 防 范 功 能 按 该 安全 区 域 发 送 的 SYN 报 文 总 量 来 判断 是 
否 超出 阔 值 。 


攻击 防范 故障 排除 思路 


。 基于 扫描 的 攻击 防范 
oO 基于 IP 扫 描 的 攻击 : ip-sweep 
a 排 错 步骤 一 : 攻击 防范 开关 是 否 开启 
= 排 错 步骤 二 : 黑 名 单 功能 是 否 开启 
a 排 错 步骤 三 : 地 址 扫描 速率 是 否 合理 设置 
oO 基于 端口 扫描 的 攻击 : port-scan 
a 排 错 步骤 一 : 攻击 防范 开关 是 否 开启 
= 排 错 步骤 二 : 黑 名 单 功能 是 否 开启 
。 排 错 步骤 三 : 端口 扫描 速率 是 否 合理 设置 
。 基于 分 片 的 攻击 防范 
D 基于 分 片 的 攻击 : ip-fragment、teardrop 
= 排 错 步骤 : 攻击 防范 开关 是 否 开启 
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配置 IP 地 址 扫描 攻击 防范 参数 后 ， 设 备 对 进入 的 TCP，UDP，ICMP 报 文 进行 检测 ， 
并 以 某 个 源 IP 地 址 为 索引 ， 判 断 该 源 IP 地 址 发 送 报 文 的 目的 IP 与 前 一 报 文 的 目的 IP 地 址 是 
否 不 同 ， 如 果 是 则 异常 次 数 加 1。 当 异常 频率 超过 预定 义 的 益 值 时 ， 则 认为 该 源 愉 地 址 的 
报 文 为 IP 地 址 扫描 攻击 ， 并 将 该 源 IP 地 址 加 入 黑 名 单 ， 然 后 做 如 下 处 理 : 

若 USG 开 启 黑 名 单 功 能 ， 则 从 该 源 IP 地 址 发 出 的 报 文 命中 黑 名 单 被 全 部 丢弃 ; 

若 USG 没 有 开启 黑 名 单 功能 ,yg 则 从 该 源 发 出 的 报 文 ， 如 果 扫 描 速率 超过 了 设 定 的 阅 
值 ， 超 出 部 分 则 丢弃， 其 余部 分 进行 转发 。 

IP 报 文 头 中 的 DF 和 MF 标志 位 用 于 分 片 控 制 ， 攻 击 者 通过 发 送 分 片 控制 非法 的 报 文 ， 
从 而 导致 主机 接收 报 文 时 产生 故障 ， 报 文 处 理 异 常 ， 甚 至 导致 主机 骨 溃 。 开 启 IP 分 片 报 文 
攻击 防范 功能 ， 设 备 将 检测 到 报 文 控制 位 是 下 列 情况 之 一 时 ， 则 直接 丢 奔 并 记录 攻击 日 志 


DF 位 为 本 而 MF 位 也 为 1 ; 
DF 位 为 丰 ， 而 Offset > 0; 
DF 位 为 0， 而 分 片 Offset + Length > 65535 。 


案例 : 攻击 防范 导致 业务 不 通 〈 一 ) 





W 
trust untrust 
G0/0/0.15 G0/0/1 


172.16.0.6 10.2.1.100 


4 


。 故障 现象 
Do FW 作为 安全 设备 接 入 M2000 和 WASN 之 间 ， 开 启 攻 击 防范 ， 保 护 
WASN; M2000 与 WASN 通 过 TCP 建 立 连 接 ， 进 得 数据 交互 。 目 前 
的 现象 是 ，TCP 连 接 可 以 建立 ， 但 数据 交互 不 成 功 。 
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tcp VPN: public -> public 

Tone: untrust -> trust Tag: 0x2588 State: 0z53 

TIL: 00:20:00 Left: 00:19:19 Id: 17244a80 SlvId: 2efdff40 
Interface: GO/0/0.15 Nexthop: 172.26.0.6 MAC: 00-25-9e-fl-db-35 
《一 packets:24 bytes:1131 --> packets:24 bytes:4181 

172. 26. 0. 6: 6000< 一 10. 2. 1. 100: 38287 


tcp VPHN: public -> public 

Tone: untrust -> trust Tag: 0x2588 State: 0z53 

TIL: 00:20:00 Left: 00:19:58 Id: 2c9a3ce0 SlvId: 113ba800 
Interface: GO/0/0.15 Nexthop: 172.26.0.6 MAC: 00-25-9e-fl-db-35 
《一 packets:148 bytes:16182 —> packets:216 bytes:55200 

172. 26. 0. 6: 16002< 一 10. 2. 1. 100: 38285 


100 
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原因 分 析 

查看 TCP 连 接 建立 正常 ; 
抓 包 查看 后 续 的 数据 传输 出 现 问题 , NM CP 不 断 重 传 ; 

观察 FW 会 话 TCP 连 接 建立 后 , (过 20 秒 钟 会 话 变 为 半 连 接 ， 期 间 无 数据 传输 。 


务 不 通 (二 ) 


tcp VPN: public -> public 

Zone: untrust -> trust Tag: 0x2588 State: 0z56 

TIL: 00:00:10 Left: 00:00:05 Id: 17244a80 SlvId: 2efdff40 
Interface: GO/0/0.15 Nexthop: 172.26.0.6 MAC: 00-25-9e-fI-db-35 
《-- packets:26 bytes:1211 一 》packets:26 bytes:4261 

172. 26. 0. 6: 6000< 一 10. 2. 1. 100:38287 

tcp VWPN: public -> public \4 
Tone: untrust -> trust Tag: 0x2588 State: 0x56 

TIL: 00:00:10 Left: 00:00:05 Id: 2c9a3ce0 SlvIdSiabaaoo 
Interface: GO/0/0.15 Nexthop: 172.26.0.6 WAC: ge 下 Edb-35 


<-- packets:163 bytes:17614 ~--> packets:236 bytog:60ddY 
172. 26. 0. 6:16002< 一 10. 2. 1. 100: 38285 





WW huawel 


案例 : 攻击 防 学 导致 业务 不 通 








695 2010-09-29 237 F TCF 
696 2010-09-29 23:11:07.182467 172.26.0.6 10.2.1.100 6001 > 60943 [Ack] Seq-1 Ack=11 win=8184 Len=0 
697 2010-09-29 23:11:08.564682 172.26.0.6 10.2,1.100 Event ; <Unknown eventcode 43>, <Unknown eventcode 48>i eo]o 


699 2010-09-29 332185 0- 2.1. 400 172.26.0.6 60943 > 6001 [ACK] Seq=11 Ack=163 win=49664 Len=Q ly 
700 2010-09-29 26.0.6 TCP Segment of a reassembled POU Ey Bs 
701 2010-09-29 06. 786973 172. 26: 0. .6 10.2.1.100 6001 > 60943 [ACK] Seq=163 Ack=21 win=8184 Lena0 | 司 

702 2010-09-29 吕 172.26.0.6 10.2.1.100 [TCP segment of a reassembled PDU] a 

703 2010-09-29 07. 10.2.1.100 172.26.0.6 60943 > 6001 [ACK] seq*21 Ack=283 Wine49664 Ee Ee 

704 2010-09-29 3: a 172.26.0.6 10.2.1.100 I <Unknown RE a 

705 2010-09-29 LR3: 10.2.1.100 172.26.0.6 600 9554s sns0_ | 

706 2010-09-29 23:13: 0 284314 10.2.1.100 172.26.0.6 [rep Segment of a Tea55eg61ed 1 PD U] 

707 2010-09-29 23:13:06.414192 172.26.0.6 10.2.1.100 6001 > 60943 [ACK] Seq=325 Ack=31 Win=| 85 ken=00 


。 解决 方法 
o 客户 的 业务 和 应 用 场景 与 攻击 防范 的 tcp-illeage-session 防 护 类 
相 冲 突 ， 最 直接 的 方法 就 是 取消 tcp-illeage-session 防 护 。 7 
如 果 可 行 ， 也 可 以 与 客户 沟通 更 改 应 用 协议 的 某 些 参数 ， 来 规避 
这 种 冲突 。 
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绕 过 FW， 业 务 访 问 正常 ， 抓 包 分 析 : ,M2000 与 WASN 建 YTCP 连 接 ， 等 待 1 分 钟 后 才 
会 有 数据 的 交互 。FW 上 开启 tcp-ileage-session 攻 击 防范 ,TCP 连 接 建立 后 ， 如 果 15 秒 内 无 
数据 相应 数据 报 文 ， 则 认为 该 TCP 连 接 为 攻击 ， 断 开 连 接 ， 从 而 导致 业务 中 断 。 


全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
3.1 NAT 故 障 排除 

3.2 攻击 防范 故障 排除 

3.3 限 流 策略 故障 排除 

双 机 热 备 故障 排除 

L2TP VPN 故 障 排 除 

IPSEC VPN 故 障 排 除 


SSL VPN 故 障 排除 
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限 流 荣 略 排 除 思 路 


。 配置 整体 限 流 策略 功能 
o 检查 是 否 启 用 限 流 功能 
o 检查 整体 限 流 Class 
o 检查 整体 限 流 策略 


。 配置 每 IP 限 流 策略 功能 
o 检查 是 否 启 用 限 流 功 能 
检查 每 IP 限 流 Class 
检查 每 IP 限 流 策略 
整体 限 流 Class 
检查 整体 限 流 策略 
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限 流 荣 略 故障 排除 


。 故障 点 1: 未 启用 限 流 策略 功能 

o 执行 命令 traffic-policy enable， 启 用 限 流 策略 功能 。 

故障 点 2: 限 流 策略 优先 级 顺序 和 方向 设置 错误 K 

o 每 个 域 间 的 Inbound 和 Outbound 方 向 上 可 以 应 用 多 个 限 流 策略 。 

o lnbound: 入 方向 ， 低 安全 级 别 的 安全 区 域 向 高 安全 级 别 的 安全 区 域 的 
方向 。 

o Outbound: 出 方向 ， 高 安全 级 别 的 安全 区 域 向 低 安全 级 别 的 安全 区 域 
的 方 Outbound 四 


向 o 
= FW 3 
本 4 trust untrust Interne 
Se 
PC 





< 





Inbound 
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限 流 策 略 故 障 排 除 


。 故障 点 3: 包括 最 大 带宽 、 保 证 带宽 、 最 大 连接 数 数值 设置 错 

误 

o 必须 保证 每 IP 的 保证 帝 宽 的 总 值 要 小 于 整体 带宽 的 值 。 

o 如 果 还 需要 限制 每 个 IP 的 最 大 带宽 还 可 以 配置 每 IP 最 大 带宽 % 所 
有 IP 的 最 大 带宽 的 和 要 大 于 整体 带宽 ， 否 则 保证 融 宽 无 意义 。 


o 整体 限 流 策略 和 每 IP 限 流 策略 控制 的 IP 范 围 需 一 致 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved Page 52 HUAWEI 


故障 点 3: 包括 最 大 带宽 、 保 证 带宽 、 最 大 连接 数 数值 设置 错误 
必须 保证 每 IP 的 保证 带宽 的 总 值 要 小 手 整 体 带 宽 的 值 ， 这 个 需要 先 根 据 网 络 规 划 计 算 


保证 ， 保 证 带宽 的 总 和 不 超过 接口 的 总 带宽 》 如果 所 有 的 流量 加 起 来 超过 了 运营 商 给 的 带 
宽 ， 就 会 在 接口 处 随机 丢 包 了 。 


一 般 情 况 下 配置 保证 带宽 的 时 候 只 配置 每 IP 保 证 带宽 、 整 体 带宽 就 行 了 ， 如 果 还 需要 
限制 每 个 IP 的 最 大 带宽 还 可 以 配置 每 |P 最 大 带宽 。 此 时 所 有 IP 的 最 大 带宽 的 和 要 大 于 整体 
带宽 ， 否 则 保证 带宽 无 意义 二 例如 : 某 网 段 有 10 个 IP， 配 置 的 整体 带宽 为 50M， 则 其 保证 
带宽 可 以 配置 为 4M 左 右 (小 于 5M) ， 最 大 带宽 可 配置 为 10M 左 右 (大 于 5M) ， 这 时 可 以 
满足 保证 带宽 的 场景 需求 。 


整体 限 流 策略 和 每 P 限 流 策略 控制 的 IP 范 围 需 一 致 ， 因 为 如 果 二 者 不 一 致 ， 当 整体 融 
宽 较 小 时 ， 没 有 配置 保证 带宽 的 IP 会 因为 无 法 抢占 配置 了 保证 带宽 的 IP 的 流量 ， 而 导致 允 
许 通过 流量 的 很 少 。 


全 目录 
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双 机 热 备 故障 排 错 思 路 


| 硬件 要 求 
() 组 网 问题 。。 .软件 要 求 





.VRRP VGMP 配 置 


双 机 热 备 常见 故 © 配置 错误 。 .HRP 配 置 错误 


障 je 
@) 主 备 切换 问题 ， 


四 结合 使 用 问题 、 





双 机 热 备 故障 排 错 思路 (一) 


。 故障 点 一 : 设计 问题 
o 硬件 要 求 : 要 求 进行 双 机 热 备份 的 两 台 设 备 接口 卡 的 位 置 、 类 型 
和 数目 都 相同 ， 且 需要 加 入 到 相同 的 安全 域 ， 否 则 会 出 现 主 用 
USG 备 份 过 去 的 信息 ， 与 备用 USG 的 物理 配置 无 法 兼容 ， 导致 主 
备 USG 切 换 后 出 现 问题 ; 
5 软件 要 求 : 软件 版 本 和 BootRoom 版 本 一 致 。 


。 故障 点 二 : 配置 问题 
Do VRRP/VGMP 配 置 类 问题 : 请 参考 备注 或 手册 3 
o HRP 配 置 问题 : 请 参考 备注 或 手册 。 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved Page 55 HUAWEI 





由 于 VGMP 报 文 不 支持 分 片 ， 请 不 要 在 接口 此 配置 MTU。 否 则 ， 将 可 能 导致 USG 不 能 
正常 接收 VGMP 报 文 。 当 主 用 USG 出 现 故 障 时 % 主 备 USG 不 能 正常 切换 。USG 支 持 VRRP 
备份 组 的 虚拟 IP 地 址 与 对 应 的 接口 IP 地 址 在 同一 网 段 和 不 在 同一 网 段 两 种 情况 。 

主 备 USG 的 HRP 备 份 通道 配置 必须 一 致 。 主 备 USG 的 HRP 备 份 通道 接口 必须 直接 相 
连 ， 中 间 不 能 连接 交换 机 。HRP 备 份 通道 接口 不 能 为 二 层 交换 接口 或 Vianlf 接 口 。 USG 文 
持 使 用 Eth-Trunk 接 口 做 为 HRP 备 份 通道 ， 既 提高 了 可 靠 性 ， 又 增加 了 备份 通道 的 带宽 。 


双 机 热 备 故障 排 错 思路 〈 二 ) 


。 故障 点 三 : 主 备 切换 问题 
o 路 由 可 达 性 问题 : 业务 在 双 链 路 上 运行 ， 需 要 配置 IP-Link， 并 
与 HRP 绑 定 ， 实 现 二 层 或 三 层 链 路 的 可 达 性 监控 。 目 的 路 册 不 
可 达 时 ，HRP 触 发 VGMP 组 切换 。 XX 


Switch1 








VRRP sl 


Switch2 
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双 机 热 备 故障 排 错 思路 三 


oO 本 地 链 路 监控 问题 : 同一 台 设 备 上 ， 部 分 端口 运行 VRRP， 部 分 
不 运行 ， 需 要 通过 在 运行 VRRP 的 端口 上 监控 未 运行 VRRP 的 端口 
(Link-Group) ， 以 实现 正常 切换 。 


Switchl 


Internet ”Client 


、 1 
一 和 二 
mm 


Switch2 
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双 机 热 备 故障 排 错 思 路 《四 ) 


。 故障 点 四 : 双 机 热 备 与 NAT 结 合 使 用 场景 
5 虚拟 IP 与 地 址 池 在 一 个 网 段 时 ， 需 要 将 NAT 与 VRRP 组 相关 联 ; 不 在 一 个 
网 段 时 ， 则 不 需要 关联 。 
。 故障 点 五 : 双 机 热 备 与 OSPF 结 合 使 用 场景 
o 防火 墙 一 侧 运 行 VRRP， 另 一 侧 运 行 OSPF ， 需 要 通过 命令 hrp osp Nod 
adjust-enable ， 配 置 根据 HRP 状 态 调整 OSPF 相 关 的 COST 值 命令 功能 。 
Do 如 果 配 置 了 VGMP 组 的 主动 抢占 功能 ， 则 需要 配置 抢占 延迟 时 间 大 于 故 


障 消 除 后 OSPF 的 收敛 时 间 。 
Router1 Switch1 


Client 


~ Internet 运 EN 
= 


Router2 
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配置 hrp ospf-cost adjustrenable 后 ， 当 链 路 发 生 故 障 ， 缺 省 情况 下 ，OSPF COST 值 
调整 为 为 65500。 


案例 :来 回路 径 不 一致 导致 FTP 业 务 不 通 


Switch1 Switch3 


10.26.100.81/28 
FTP Client 


10.26.97.234/29 10.26.97.236/29 


VRRP:10.26.97.238/29 L2-link 


i Fé) 
FTP lServer 
10.26.100.97/28 10.26.97.235/29 10.26.97.237/29 





Switch2 FW2 Switch4 


。 组 网 说 明 
oO 防火 墙 FW1、FW2 以 透明 模式 接 入 到 网 络 ; 
Do Switch1、Switch2 运 行 双 机 热 备 ， 心 跳 报 文通 过 Switch3、Switch4 交 互 ; 
Switch3、Switch4 也 运行 双 机 热 备 ， 心 跳 报 文通 过 直 连 二 层 链 路 交互 。 
。 故障 现象 
o FTP Client 能 ping 通 FTP Server (第 一 个 ping 包 不 通 ) ， 但 FTP 业 务 不 通 。 
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案例 :来 回路 径 不 一 致 导 致 FTP 业 务 不 通 


。 处 理 过 程 


《gprsadmBcCSNWH08_RE0> traceroute 10.25.5.71 

traceroute to 10. 25.5.71 (10. 25. 5.71)，30 hops max, 40 byte packets 
1 10.26.100.97 (10.26. 100.97) 0.379 ms 0.310 ms 0.348 ms 
2 10.26.97.236 (10.26.97.236) 2.411 ms 2.350 ms 2.524 ms 
3 10.25.253.1 (10.25.253.1) 0.529 ms 0.556 ms 0.463 ms 


。 原因 分 析 
oO Ping 测 试 第 一 个 报 文 丢 弃 ; 
D FTP 业务 不 通 原因 。 
。 解决 方法 
o 通过 命令 hrp mirror session enable; 


o 通过 命令 undo firewall session link-state check。 
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。 处 理 过 程 
可 以 ping 通 FTP Server， 排 除 路 由 问题 ; 
通过 检查 ， 域 间 包 过 滤 及 ASPF 均 配置 正确 ; 
通过 tracert 测 试 ， 确 认 来 回路 径 不 一 致 。 

。 原因 分 析 
Ping 测 试 第 一 个 报 文 丢 弃 ， 原因 有 两 种 可 能 


发 送 ping 前 ， 源 需要 请 求生 的 的 MAC 地 址 ， 即 发 送 ARP 请 求 ， 如 果 ARP 应 答 报 文 返回 
时 间 过 长 ， 超 过 ping requesttime out 时 间 ， 将 认为 系统 不 通 ; 


来 回路 径 不 一 致 ,/ 假 设 ping 的 请 求 报 文通 过 主 防火 墙 FW1， 返 回 的 应 答 报 文 经 过 FW2 
， 那 么 可 能 会 造成 第 这 个 ping 包 的 丢 包 。 原 因为 : 双 机 热 备 会 话 表 的 备份 时 间 要 比 防火 墙 
创建 会 话 表 的 时 间 晚 几 秒 钟 ， 而 这 个 时 间 恰 好 超过 了 系统 的 ping request time out 时 间 ， 
所 以 第 一 个 ping 报 文 会 被 丢弃 。 

FTP 业 务 不 通 原 因 : FTP 的 控制 通道 的 建立 是 基于 TCP 的 ， 客 户 端 通过 syn-request 报 
文 发 起 TCP 和 连接 六 服务 器 回复 Syn-ack 响 应 ， 由 于 syn-ack 报 文通 过 FW2 防 火 墙 ， aa 
上 无 相应 会 话 六 所 以 防火 墙 会 丢弃 该 报 文 ， 导 致 FTP 的 控制 通道 无 法 建立 ， 因 此 业务 


。 解决 方法 
通过 命令 hrp mirror session enable， 打 开 防 火 墙 快速 备份 功能 ， 保 证 会 话 备份 没有 延 
迟 , 备份 口 要 使 用 主 控 板 上 的 口 ; 


通过 命令 undo firewall session link-state check， 关 闭 链 路 状态 检测 ， 打 开 双 向 的 包 过 
滤 。 


全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
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L2TP VPN 故 障 排 除 

5.1L2TP VPN 故 障 排除 命令 

5.2 L2TP VPN 故 障 排 除 思 路 及 步骤 
IPSEC VPN 故 障 排除 

SSL VPN 故 障 排 除 
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L2TP VPN 故 障 排除 命令 


a 查看 当前 月 L2TP 组 信息 /ENO 


<sysname> display Il2tp-group 1 
Il2tp-group 1 
undo tunnel authentication 


allow Il2tp virtual-template 0 remote tunnel 


。 查看 当前 L2TP 隧 道 信 息 。 


<sysname> display Il2tp tunnel 


Total tunnel = 1 
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 
少 人 ye le Ns 17010 1 Ins 
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display I2tp tunnel 命 令 查 看 Il2tp 是 否 拨 号 成 功 3 


查看 设备 会 话 信息 ， 也 是 排 错 中 非常 实用 的 命令 ， 即 display firewall session table， 
可 以 查看 是 否 存 在 I2tp vpn 的 会 话 


L2TP VPN 故 障 排除 命令 


。 查看 当前 L2TP 会 话 信息 。 


<sysname> display Il2tp session 
Total session = 1 

LocalSID RemoteSID LocalTID 
1 1 2 


。 打开 L2TP 所 有 的 调试 信息 开关 。 


<sysname> terminal debugging 


<sysname> terminal monitor 
<sysname> debugging I2tp all 
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当 通 过 配置 无 法 排查 l2tp 故 障 原因 时 , ,使 用 debug 信 息 来 调式 出 l2tp 交 互 的 打印 信息 ， 
有 助 于 我 们 分 析 故 障 原 因 。 在 输出 完 debug 信 息 之 后 ， 请 及 时 关闭 debug 开 关 (undo 


debugging all) 。 


Debug 命 令 使 用 举例 


o 在 LAC 打 开 debug ppp all 若 看 到 如 下 信息 时 则 为 认证 未 通 
检查 用 户 名 密码 是 否 与 aaa 配 置 一 致 。 tan 


*0.7832210 E200E-B PPP/7/debug2: 


BEPEEmoR 丸 


Virtual-Template1:0 PAP : Server failed No. 11! 


口 CHAP 认 证 没 通 过 信息 如 下 : 


PPP Packet: 
Virtual-Template1:0 Output CHAP(c223) Pkt, Len 33 
State ServerFailed, code FAILURE(04), id 1, len 29 
Message: Illegal User or password. 


*0.12783270 E200E-B PPP/7/debug2: 


PPP Error: 
Virtual-Template1:0 CHAP : Server auth failed No. 1! 


*0.12783410 E200E-B PPP/7/debug2: 
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debug 信 息 中 NO.1 表 示 第 几 次 认证 失败 ，1 表 示 第 一 次 ， 最 多 是 3 次 。 


Debug 命 令 使 用 举例 


LAC 向 LNS 发 起 了 Il2tp 的 协商 但 是 LNS 没 有 回应 


o 打开 Ins 端 l2tp 的 debug， 如 果 有 下 面 显示 信息 ， 说 明 Ins 端 remote 


name 与 lac 端 配置 tunnel name 不一致。 通常 lac 端 发 起 协商 ， 而 由 s 
未 回应 则 需 检查 |2tp 隧 道 两 端 参 数 是 否 一 致 。 


*0.15558990 E200E-B L2TP/7/L2TDBG: L2TP::requested host isnt in thefgsine 
l2tp group , refuse the requested 0 
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如 果 LNS 使 用 的 是 radius 认 证 ， 而 radius 认 证 配置 不 正确 ， 此 时 也 会 导致 LNS 不 会 回应 
LAC。 


全 目录 
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故障 排除 : Client-lnitialized 方 式 


出 差 用 户 L2TPTUNNEL 


。 现象 描述 S 
o 出 差 员工 或 者 分 支 机构 员 工 通过 L2TP 访 问 公 司 总 部 资源 ; 
o 总 部 对 外 出 口 网 关 ， 在 使 用 PC 进行 拨号 时 ， 拨 号 失败 。 
。 可 能 原因 
o 原因 一 : 网 络 连通 性 问题 ; 
o 原因 二 : 参数 配置 问题 ; 
o 原因 三 : LNS 与 认证 服务 器 联动 不 成 功 。 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved 人 > Page 67 2 HUAWEI 


L2TP VPN 故 障 排除 思路 


.PC 没有 到 LNS 的 路 由 
:LNS 没 有 到 PC 的 路 由 
(JJ 网 络 连通 性 问题 。 .Pc 和 LNS 链 路 连通 性 。 。 


.中 间 线路 封 掉 L2TP 端 品 > 
.隧道 验证 和 名 称 配 置 


PC 通过 L2TP 拨 号 © 参数 配置 问题 Le 
到 LNS 失 败 


GO LNS 与 认证 服务 器 room 


认证 失败 令 。 .认证 服务 器 本 身 的 问题 
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L2TP VPN 故 障 排除 步骤 


。 原因 一 : 网 络 连 通 性 问题 

o PC 没有 到 LNS 的 路 由 

在 PC 上 查看 路 由 命令 : route print 
o LNS 没 有 到 PC 的 路 由 

防火 墙 上 查看 路 由 命令 : display ip routing-table 
o PC 和 LNS 之 间 的 链 路 存在 连通 性 故障 

比如 : 中 间 线 路 的 接口 ， 线 缆 故 障 ， 设 备 路 由 等 等 因素 。 
o 中 间 链 路 封 掉 了 Il2tp 端 口 

如 果 其 他 端口 业务 都 正常 ， 但 是 LNS 设 备 无 法 接收 到 2tp 数 据 报 文 ， 那 
么 中 间 链 路 的 设备 禁止 了 I2tp 端 口 。 
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判定 是 否 是 中 间 链 路 问题 ， 可 以 使 用 ping 或 者 tracert 命 令 。 


L2TP VPN 故 障 排除 步骤 


。 原因 二 : 参数 配置 问题 
o 隧道 验证 配置 不 一 致 
查看 LNS 是 否 启用 隧道 验证 ， 如 果 启 用 隧道 验证 ， 将 会 显示 隧道 验证 亨 
式 和 隧道 验证 使 用 的 密码 。 
<USG> display current-configuration configuration 2tp 
Il2tp-group 100 
allow Il2tp virtual-template 99 remote |l2tp 


tunnel password simple abc.com 


检查 LNS 和 拨号 客户 端 是 否 都 同时 启用 隧道 验证 会 检查 拔 号 客户 端 配置 
的 隧道 验证 密码 是 否 与 LNS 上 配置 的 隧道 验证 密码 相同 。 
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默认 情况 下 隧道 验证 是 开启 的 ， 因 此 需要 配置 隧道 密码 。 如 果 不 使 用 隧道 验证 ， 在 
l2tp-group 视 图 下 : undo tunnel authentications 


L2TP VPN 故 障 排除 步骤 
o 隧道 名 称 配 置 不 一 致 


基本 该 置 12TT 设 和 
至 本 信息 人 ) 
障 首 名称 加 天 
证 醒 式 W) 


短 道 阔 正 避 ) 
厂 局 RN 站 证 功能 @) 


一 一 





CD 

o 查看 LNS 上 是 否 有 匹配 的 隧道 名 称 
<USG> display current-configuration configuration 12tp 
Il2tp-group 100 allow Il2tp virtual-template 99 remote I2tp 


tunnel password simple abc.com 
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如 果 在 LNS 上 配置 了 remote 名 字 ， 在 客户 端 绅 的 隧道 名 称 必 须 和 该 remote 名 字 一 致 。 
如 果 使 用 Il2tp-group 1， 那 么 LNS 人 允许 所 有 客户 端 拨 入 ; 如 果 使 用 其 他 Il2tp-group ID ， 则 必 
须要 指定 隧道 名 称 ， 且 指定 的 隧道 名 称 的 客户 端 才 可 以 拨 入 。 


L2TP VPN 故 障 排除 步骤 


o_PPP 验 证 模式 不 一 致 





查看 拨号 用 户 在 客户 端 拨号 工具 中 配置 的 PPP 验 证 模式 。 


以 VPN Client 软 件 为 例 。 如 上 图 所 示 ，PC 客 户 端 设置 的 隧道 名 称 为 Jl2tp”， 
认证 模式 为 “PAP”。 


查看 对 应 Virtual Template 使 用 的 PPP 认 证 模式 。 
<USG> system-view 
[USG] interface Virtual-Template 99 
[USG-Virtual-Template99] display this 
interface Virtual-Template99 
ppp authentication-mode PAP 
ip address 99.99.99.24 255.255.255.0 


remote address pool 1 
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PPP 认 证 有 chap 和 pap ， 配 置 中 注意 属于 哪 一 种 认证 。 


L2TP VPN 故 障 排除 步骤 


o Virtual-Template 接 口 未 配置 IP 地 址 
查看 Virtual-Template 接 口 信息 ， 确 认 是 否 配置 了 IP 地 址 。 


<USG> system-view 

[USG] interface Virtual-Template 99 
[USG-Virtual-Template99] display this 
# 

interface Virtual-Template99 

ppp authentication-mode PAP 

ip address 99.99.99.24 255.255.255.0 


remote address pool 1 
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L2TP VPN 故 障 排除 步骤 


o Virtual-Template 接口 视图 下 未 指定 正确 的 地 址 池 


在 Virtual-Template 接 口 视 图 下 ， 确 定 是 否 指定 了 正确 的 地 址 池 ， 根 据 
对 应 的 地 址 池 编 号 ， 查 看 AAA 下 的 地 址 池 是 否 配置 成 功 。 
<USG> system-view 尽 
[USG] interface Virtual-Template 99 
[USG-Virtual-Template99] display this 
# 
interface Virtual-Template99 
ppp authentication-mode PAP 
ip address 99.99.99.24 255.255.255.0 
remote address pool 1 
[USG] aaa 
[USG-aaal] display this 
local-user admin password simple Admin@123 
ip pool 1 1.1.1.1 1.1.1.4 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved: Page 74 中 多 HUAWEI 





如 果 在 Virtual-Template 接 口 视图 下 未 显示 地 址 池 ， 上 比如 显示 的 是 remote address pool 
， 那 么 他 默认 调用 的 是 地 址 池 编 号 0。 


L2TP VPN 故 障 排除 步骤 


o 地 址 池 地 址 已 分 配 完 


查看 用 户 所 在 域 引 用 地 址 池 是 否 与 对 应 Virtual Template 引 用 地 址 池 一 
致 。 


<USG> display ip pool domain abc 


Total pool number 1 
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Used-addr-number 字 段 的 值 大 于 Pool:length 字 上 段 的 值 ， 说 明 上 线 人 数 已 经 域 最 大 用 户 
接 入 数 ， 需 要 等 待 当 前 L2TP 客 户 下 线 后 从 修改 域 最 大 用 户 接 入 数 。 

Used-addr-number 字 段 的 值 小 于 Pool-length 字 段 的 值 ， 说 明 上 线 人 数 没 有 超过 域 最 大 
用 户 接 入 数 。 


全 目录 


. 故障 排除 方法 


安全 策略 故障 排除 


. 防火 墙 高 级 安全 特性 故障 排除 
. 双 机 热 备 故障 排除 

. L2TP VPN 故 障 排除 

. IPSEC VPN 故 障 排除 


Ts 
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6.1 IPSEC VPN 配 置 注意 事项 
6.2 IPSEC VPN 故 障 排除 命令 
6.3 IPSEC VPN 故 障 排除 思路 及 步骤 
6.4 IPSEC VPN 故 障 排除 案例 


SSL VPN 故 障 排除 





IPSEC VPN 配 置 前 需要 准备 的 数据 


IKE 协 商 的 版 本 ， 目 前 包含 IKEv1 和 IKEv2 两 种 ; 

协商 对 端的 IP 地 址 ， 本 端的 IP 地 址 ， 中 间 是 否 存在 NAT 的 情况 ; 
一 阶段 的 协商 内 容 : 协商 模式 ( 主 模 式 、 野 蛮 模 式 ) 、 岗 ASH 

算法 (MD5、SHA1) 、 加 密 算法 (DES、3DES、AES=428 | 

192 |256 ) 、 预 共享 密 钥 、DH-GROUP; 

第 二 阶段 的 协商 内 容 : IPSEC 的 封装 协议 (AHNIESP、 

AH+ESP) 、 认 证 算法 ( MD5、SHA1 ) 、 加 密 算 法 (DES、 

3DES、AES 128 | 192 | 256 ) 、PFS、 需 要 保护 的 数据 流 。 
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IPSEC VPN 配 置 所 遇 到 的 问题 〈 一 ) 


。 ike 和 ipsec 命 令 缺 失 
o 这 是 由 于 没有 license 的 原因 ， 需 要 购买 了 含有 ipsec 功 能 项 license 
并 且 通 过 license file xxx 这 个 命令 行 导 入 了 license 才 能 执行 jpssc 
相 关 命 令 行 。 可 以 通过 display license 来 查看 当前 license 所 包 沧 
ipsec 隧道 数 。 


。 选择 模板 方式 还 是 非 模 板 方式 
o 取决 于 对 端 设备 特征 ， 如 果 需 要 远程 移动 客户 端 接 人 入， 将 不 知道 
客户 端 IP 地 址 ， 无 法 配置 remote-address， 只 能 使 用 模板 方式 ， 
并 且 使 用 野 弯 模式 名 字 认 证 ， 如 果 是 两 个 分 支 机 构 之 间 通 信 ，IP 
地 址 是 固定 的 ， 则 使 用 非 模板 方式 。 
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如 果 分 支 是 不 固定 的 ip， 那 么 总 部 使 用 策略 模板 方式 ， 分 支 使 用 子 策略 方式 。 


IPSEC VPN 配 置 所 遇 到 的 问题 〈 二 ) 


。 ， 双 机 热 备 组 网 时 ， 如 何 配置 
o 双 机 热 备 情况 下 ， 由 于 对 端 只 配置 本 端的 1 个 IP 地 址 ， 所 以 本 端 必 
须 使 用 虚 IP 作 为 IKE 协 商 地址 ， 可 以 在 ipsec policy 中 配置 locGl 
address 为 对 外 庶 IP。 另 外 主 备 发 生 切 换 时 ， 对 端 设备 是 无 湛 岛 个 
感知 的 ， 所 以 需要 对 端 设备 支持 DPD 或 keepalive， 两 A 都 配置 
上 DPD 或 Kkeepoalive。 
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。 使 用 ike dpd 命 令 配 置 DPD 功 能 时 需要 注意 

如 果 指定 interval 参 数 ， 表 示 DPD 工 作 在 轮 询 模式 ， 如 果 在 DPD 检 测 时 间 间 隔 内 隧道 中 
没有 流量 ， 则 周期 性 发 送 DPD 报 文 。 

如 果 指定 on-demand 参 数 ， 表 示 DPD 工 作 在 流量 触发 模式 ， 自 上 次 流量 结束 时 刻 算 起 
， 如 果 在 DPD 检 测 时 间 间 隔 内 隧道 申 没有 流量 ， 则 只 有 在 有 发 送 流量 时 才 会 发 送 DPD 报 文 
， 且 DPD 检 测 时 间 从 零 重 新 计算 各 否则 隧道 中 不 会 有 DPD 报 文 。 


如 果 没 有 指定 interval 或 6msdemand 参 数 ，DPD 默 认 工作 在 流量 触发 模式 。 
。 配置 Keepalive 机 制 时 需要 注意 


发 送 Keepalive 报 交 的 时 间 间 隔 和 等 待 Keepalive 报 文 的 超时 时 间 要 成 对 出 现 ， 即 在 一 
个 USG 上 配置 了 timeout 参 数 ， 那 么 在 对 端 就 要 配置 interval 人 参数 。 


在 网 络 上 一 般 不 会 出 现 超过 连续 三 次 的 报 文 丢失 ， 所 以 超时 时 间 可 以 采用 对 端 配置 的 
Keepalive 报 文 发 送 时 间 间 隔 的 三 倍 。 


interval 的 参数 应 该 小 于 对 端的 timeout 参 数值 ， 而 不 应 该 与 本 端 进 行 比较 。 





IPSEC 配 置 问题 快速 诊断 (一) 


。 ”如 果 ike 第 一 阶段 无 法 建立 

o 1、2 两 个 报 文 协商 的 是 ike proposal 配置 参数 ， 如 果 发 送 第 一 个 报 
文 对 端 没有 回应 ， 需 要 检查 两 端 设备 ike proposal 配置 参数 是 否 志 
致 

o 3、4 两 个 报 文 协 商 的 是 key 、nonce， 通 常情 况 下 如 果 了 2 两 个 报 
文 能 通过 ，3、4 报 文 一 般 不 会 有 问题 ; 

o 5、6 两 个 报 文 被 加 密 ， 是 ike peer 配置 的 身份 ipsypsk 等 ， 如 果 对 
端 没有 回应 ， 需 要 检查 ike peer 下 配置 参数 与 对 端 是 否 一 致 。 
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IPSEC 配 置 问题 快速 诊断 〈 二 ) 


。 如 果 ike 阶 段 一 建立 成 功 ， 阶 段 二 不 成 功 
。 第 二 阶段 第 一 个 报 文 发 送 的 是 ipsec proposal ， 如 果 发 送 第 一 报 文 
对 端 没 有 回应 ， 检 查 设备 两 端 ipsec proposal 参数 配置 是 否 一致 S 
。 如 果 发 送 第 一 个 报 文 ， 并 收 到 第 二 个 报 文 ， 但 是 没有 回应 报关 3 
或 者 收 到 报 文 2 且 回应 了 报 文 3 但 是 隧道 没有 建立 起 来 ， 克 散 是 双 
方 的 感 兴趣 流量 acl 不 匹配 。 
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全 目录 


. 故障 排除 方法 


安全 策略 故障 排除 


. 防火 墙 高 级 安全 特性 故障 排除 
. 双 机 热 备 故障 排除 
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Ts 
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6.1 IPSEC VPN 配 置 注意 事项 
6.2 IPSEC VPN 故 障 排除 命令 
6.3 IPSEC VPN 故 障 排除 思路 及 步骤 
6.4 IPSEC VPN 故 障 排除 案例 


SSL VPN 故 障 排除 





IPSEC VPN 故 障 排除 相关 命令 《一 ) 


。 显示 所 有 IKE 协 商 方式 建立 的 安全 联盟 配置 信息 


<sysname> display ike sa 
current ike sa number: 2 


connection-id “peer vpn flag phase doi 


20258 163EOIRDREV2 2 IESEC 
202.38-163:1 0 “RD V2:1 "IPSEC 
flag meaning 
RD--READY ST—STAYALIVE RL—REPLACED FD--FADING 
TO--TIMEOUT NEG 一 NEGOTIATING TD--DELETING D--DPD 
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display ike sa 命令 输出 信息 描述 : 

currentike sa Num: IKE 安 全 联盟 的 数量 ; 

connection-id: 安全 通道 的 标识 符 ; 

Peer: 此 安全 联盟 的 对 端 IP 地 十; 

Vpn: VPN 实 例 名 称 ; 

Flag: 显示 此 安全 联盟 的 状态 : RD (READY) : 表示 此 SA 已 建立 成 功 ; ST ( 
STAYALIVE) : 表示 此 端 是 通道 协商 发 起 方 ; ”RL (REPLACED) : 表示 此 通道 已 经 被 
新 的 通道 代替 ， 一 段 时 间 后 将 被 删除 ; FD (FADING) : 表示 此 通道 已 发 生 过 一 次 软 起 
时 ， 目 前 还 在 使 用 ， 在 硬 超 时 时 会 删除 此 通道 ; TO (TIMEOUT) : 表示 此 SA 在 上 次 


keepalive 超 时 发 生 后 还 没有 收 到 keepalive 报 文 ， 如 果 在 下 次 keepalive 超 时 发 生 时 仍 没有 
收 到 keepalive 报 文 、 此 SA 将 被 删除 ; 


Phasem : 此 SA 所 属 阶段 : Phase 1: 建立 安全 通道 进行 通信 的 阶段 ， 此 阶段 建立 
ISAKMP SA; PRhase 2: 协商 安全 服务 的 阶段 ， 此 阶段 建立 IPSec SA; 


Dois、SA 所 属 解释 域 。 


IPSEC VPN 故 障 排除 相关 命令 


。 显示 所 有 安全 联盟 的 配置 信息 


<sysname> display ipsec sa 


。 查看 IPSec 报 文 统计 信息 


<sysname> display ipsec statistics 

the security packet statistics: 

input/output security packets: 4/4 
input/output security bytes: 400/400 
input/output dropped security packets: 0/0 
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display ipsec statistics 命 令 输 出 信息 描述 : 

input/output security packets: 受 安 全 保护 的 输入 /输出 数据 包 ; 

input/output security bytes: 受 安全 保护 的 输入 /输出 字 节 数 ; 

input/output dropped security packets: 被 丢弃 受 安全 保护 的 输入 /输出 数据 包 。 


IPSEC VPN 故 障 排除 相关 命令 《三 ) 


。 详细 IPSec 报 文 的 统计 信息 注释 


<USG>display ipsec statistics 
the security packet statistics: 
input/output security packets: 4/4 收 到 /发 送 的 ipsec 报 文 数 所 
input/output security bytes: 400/464 收 到 /发 送 的 ipsec 字 节 数 
input/output dropped security packets: 0/0 被 丢弃 的 收 到 /发 送 报 文 数 ， 详 细 信 息 见 下 
面 统计 
dropped security packet detail: 
no enough memory: 0 没有 内 存 而 丢 包 ， 一 般 不 会 发 生 
cantfind SA: 0 找 不 到 sa 而 丢 包 ， 可 能 sa 没 协商 好 
queue is full: 0 队列 满 而 丢 包 ， 一 并 不 会 发 生 
authentication is failed: 0 验证 失败 而 丢 包 很 少 发 生 ， 如 果 有 可 能 是 
伪造 的 报 文 ， 或 者 对 端 设备 问题 
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IPSEC VPN 故 障 排除 相关 命令 〈 四 ) 


详细 IPSec 报 文 的 统计 信息 注释 ( 续 ) 


wrong length: 0 错误 的 长 度 而 丢 包 ， 很 少 发 生 

replay packet: 0 重 放 报 文 ， 中 间 设 备 抓 包 重 放 导致 ， 或 者 两 端的 设备 处 理 
序列 号 的 机 制 不 同步 导致 所 

too long packet: 0 过 长 的 报 文 而 丢 包 ， 很 少 发 生 

wrong SA: 0 错误 的 sa， 可 能 sa 没 协商 好 ， 或 者 两 端的 sa 不 一 致 

encry fail: 0 加 密 错误 ， 很 少 发 生 

decry fail: 0 解密 错误 ， 很 少 发 生 

check acl car 0 对 已 经 发 起 协商 的 流 的 报 文 的 丢弃 

speed limit car: 0 协商 速率 的 限制 

pre-check fail: 0 前 反 查 丢 包 ， 收 到 需要 加 密 但 没 加 密 的 报 文 ， 说 明 对 端 设备 
配置 或 处 理 问题 

succeed-check fail: 0 反 查 解密 后 的 报 文 ， 不 符合 配置 的 acl 

other reasons: 0 其 他 错误 ， 很 少 发 生 
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IPSEC VPN 故 障 排除 相关 命令 〈 五 ) 


。 重要 debug 信 息 注释 
o ike propsal 配 置 不 一 致 ， 包 括 加 密 算法 、HASH 算 法 、DH 算 法 等 
， 需 要 打开 debugging ike error。 


对 端 发 起 协商 ， 本 端 会 打印 如 下 信息 : & 
2011-06-07 14:38:36 USG %%01IKE/4/WARNING(): phase1: proposal mismatch, pleasescheck 
ike proposal configuration. 

0.508983 USG %%01IKE/7/DEBUG(d): dropped message from 3.3.3.1 due to notification type 
NO_PROPOSAL_CHOSEN 





本 端 发 起 协商 ， 对 端 拒绝 时 ， 可 能 会 打印 如 下 信息 ， 但 如 果 对 端 不 会 发 送 协商 失败 的 notify 消 息 ， 
则 不 会 打印 : 

2011-05-23 20:38:48 Eudemon %%01IKE/4/WARNING(): phase1: proposal mismatch, ple 
ase check ike proposal configuration. 

0.591250 Eudemon %%01IKE/7/DEBUG(d): got NOTIFY of type NO_PROPOSAL_CHOSEN 








(4 、 
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IPSEC VPN 故 障 排除 相关 命令 六 ) 


。 重要 debug 信 息 注释 
o ipsec propsal 配 置 不 一 致 ， 包 括 加 密 算法 、 认 证 算法 、DH 算 法 
等 ， 需 要 打开 debugging ike error。 
对 端 发 起 协商 ， 本 端 会 打印 如 下 信息 : & 
2011-06-08 19:00:06 %%01IKE/4/WARNING(I): phase2: proposal mismatch, ple 
ase check ipsec proposal configuration. 


0.34476900 %%01IKE/7/DEBUG(d): dropped message from 3.3.3.1 due to notif 
ication type NO_PROPOSAL_CHOSEN 











本 端 发 起 协商 ， 对 端 拒绝 时 ， 可 能 会 打印 如 下 信息 ， 但 如 果 对 端 不 会 发 送 协 商 失败 的 notify 消 息 ， 
则 不 会 打印 : 

2011-05-25 00:58:46 USG %%01IKE/4/WARNING!(I): phase2: prop6sal mismatch, ple 

ase check ipsec proposal configuration. 

0.34481316 Eudemon %%01IKE/7/DEBUG(d): got NOTIFY oftype NO_PROPOSAL_CHOSEN 
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IPSEC VPN 故 障 排除 相关 命令 七) 


。 重要 debug 信 息 注释 


o_acl 配 置 不 一 致 ， 需 打开 debugging ike misc 和 debugging ike error 。 
打开 debugging ike error 查 看 对 端 发 过 来 的 acl， 打 印 的 内 容 会 比较 多 ， 找 到 如 下 内 容 ， 即 对 端 发 送 
来 的 acl， 但 已 经 将 源 和 目的 对 调 了 ， 只 要 直接 和 本 地 比较 就 行 。 4 
0.35223783 USG %%01IKE/7/DEBUG(d): proid:0 
0.35223850 USG %%01IKE/7/DEBUG(d): src addr:0x03030300 mask:0xFFFFFF00 
0.35223933 USG %%01IKE/7/DEBUG(d): src port:0 
0.35224000 USG %%01IKE/7/DEBUG(d): dst addr:0x03030300 mask:0xFFFFFF00 
0.35224083 USG %%01IKE/7/DEBUG(d): dst port:0 
如 果 匹 配 不 对 ， 响 应 端 会 打印 如 下 信息 : 
2011-06-08 19:18:01 USG %%01IKE/4/WARNING(I): phase2: security acl mismatch. 





( 
( 
( 
( 





发 起 端 acl 匹 配 错误 ， 可 能 会 打印 如 下 信息 (只 要 开启 debugging ikelerromsy : 
2011-05-25 01:16:40 Eudemon %%01IKE/4/WARNING(I): phase2: seeurity acl mismatch. 
0.35555900 Eudemon %%01IKE/7/DEBUG(d): got NOTIFY ofitype INVALID_ID_INFORMATION 
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. 故障 排除 方法 


安全 策略 故障 排除 


. 防火 墙 高 级 安全 特性 故障 排除 
. 双 机 热 备 故障 排除 

. L2TP VPN 故 障 排除 

. IPSEC VPN 故 障 排除 


6.1 IPSEC VPN 配 置 注意 事项 
6.2 IPSEC VPN 故 障 排除 命令 
6.3 IPSEC VPN 故 障 排除 思路 及 步骤 
6.4 IPSEC VPN 故 障 排除 案例 


SSL VPN 故 障 排除 





IPSec VPN 故 障 排 除 : 网关 对 网 关 


USG_B 


Do 2 个 LAN 之 间 进 行 资 源 传输 ， 当 使 用 IKE 方 式 建立 IPSec 隧道 时 ， 
协商 失败 。 
。 可 能 原因 
o 原因 一 : 连通 性 问题 。 
oO 原因 二 : 配置 问题 。 
oOo 原因 三 : VPN 隧 道 数量 问题 。 
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IPSec VPN 故 障 排除 思路 


-路 由 问题 
“中间 链 路 连通 性 


(JJ 网 络 连通 性 问题 人 人 


人 
基础 配置 错误 


IPsec VPN 隧 道 协 © nie 
参数 配置 问题 . 感 兴趣 流 ACL i 


© ius 迄 ratacs 配 置 


VPN 隧 道 数量 问题 。 6 多 吕 本 身 的 问题 
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IPSec VPN 故 障 排 除 步 骤 〈 一 ) 


在 PCA 上 ping PC B， 然 后 在 USG_A 执 行 display ike sa 命令 ， 

查看 安全 联盟 建立 情况 。 

o 若 没有 建立 任何 安全 联盟 ， 说 明 第 一 阶段 安全 联盟 建立 失败 & 有 晤 
示 信 息 如 下 所 示 。 


<USG_A> display ike sa 


current ike sa number 0 


flag meaning 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING 
TO--TIMEOUT NEG--NEGOTIATING TD--DELETING D--DPD 
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第 一 阶段 安全 联盟 建立 失败 的 情况 下 ,。 重 点 请 排查 原因 一 和 原因 三 。 


IPSec VPN 故 障 排除 步 又 〈 二 ) 


。 若 建 立 安全 联盟 phase 字 上段 值 只 包括 V1:1 或 v2:1， 说 明 IKE 第 一 
阶段 安全 联盟 建立 成 功 ， 但 是 IKE 第 二 阶段 安全 联盟 建立 失败 


<USG A> display ike sa 
current ike sa number: 1 S% 


connection-id peer vpn flag phase doi 


Ox1f1 11.0.0.2 0 RDIST v1:1 IPSEC 
0x60436dc4 


flag meaning 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING 
TO--TIMEOUT NEG--NEGOTIATING TD--DELETING D--DPD 
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第 一 阶段 安全 联盟 建立 成 功 但 第 二 阶段 安全 联盟 建立 失败 的 情况 下 ， 重 点 请 排查 原因 


IPSec VPN 故 障 排除 步骤 《三 ) 


。 原因 一 : 连通 性 问题 
o 路 由 问题 : PC 没有 到 对 端 内 网 路 由 ; 防火 墙 没有 到 PC 路 由 和 到 对 
端 防火 墙 出 口 路 由 不 可 达 ; 
o 中 间 链 路 问题 : 比如 中 间 线 路 接口 、 线 缆 故 障 、 设备 中 二 久光 
o 中 间 设 备 阻 止 IKE 报 文 和 ESP 报 文 。 
。 原因 二 : 配置 问题 
o 基本 配置 错误 : 执行 display ip interface brief 命 令 ， 查 看 接口 是 
否 正确 配置 IP 地 址 、 域 间 包 过 滤 等 基本 配置 错误 。 
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ike 报 文 使 用 udp 的 500 端 口 。 未 开启 nat 穿 越 情况 下 ，AH 和 和 ESP 直接 通 过 IP 承 载 ， 协 议 
号 分 别 为 51 和 50。 开 启 nat 穿 越 情况 下 , 外 SP 使 用 udp 的 4500 端 口 。 所 以 需要 检查 中 间 设 
备 是 否 阻止 协议 号 为 51 和 50 以 及 udp500 和 4500 端 口 的 报 文 通过 。 


IPSec VPN 故 障 排除 步 又 《四 ) 


o |IKE 安 全 提议 不 一 致 
在 USG_A 上 执行 display ike proposal 命 令 ， 查 看 相应 IKE 安 全 提议 配置 。 


<USG_A> display ike proposal 所 


priority _ authentication authentication encryption Diffie-Hellman duration 


method algorithm algorithm group (seconds) 


10 PRE_SHARED SHA DES_CBC MODP_768 86400 


default PRE_SHARED SHA DES_CBC MODP_768 86400 
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可 以 看 出 USG_A 上 ，IKE 安 全 提议 号 为 得 ， 采 用 的 验证 方法 为 预 共享 方法 
PRE_SHARED) ， 验 证 算法 为 SHA， 加 密 算 法 为 DES， 生 存 周期 为 86400s。 


在 USG_B 上 执行 display ike proposal 命 令 ， 查 看 相应 上 KE 安全 提议 的 配置 。 
比较 USG_A 与 USG_B 上 的 IKE 安 全 提议 的 配置 是 否 一 致 。 若 不 一 致 请 修改 为 一 致 。 


IPSec VPN 故 障 排 除 步 骤 〈 五 ) 


o IKE Peer 配置 错误 
在 USG_A 上 执行 display ike peer name peer-name 人 命令， 查看 IKE 对 等 


体 配置 是 否 正 确 。 
<USG _A> display ike peer name a 以 


IKE Peer a 
exchange mode: main on phase 1 
pre-shared-key: gateway 
certificate domain name: 
Certificate file name: 
proposal: 10 
local id type: ip 
peer ip address: 11.0.0.2 
nat traversal: disable 
applied to 1 policy: pol-1-isakmp 
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从 上 图 可 以 看 出 USG_A IKE Peer 名 称 为 as 第 一 阶段 上 KE 的 协商 模式 为 主 模式 ， 预 共 
享 密 钥 设置 为 gateway， 本 地 ID 类 型 为 IP 廓 式 汐 对 端 IiP 地 址 为 11.0.0.2， 不 开启 NAT 穿 越 功 
能 ， 应 用 到 安全 策略 名 称 为 pol， 序 号 为 1 的 IPSec 安 全 策略 中 。 


USG_B，display ike peer name,peemname 命 令 查 看 相应 IKE 对 等 体 配置 是 否 正 确 。 


比较 USG_A 与 USG_B 配 置 ， 查 看 配置 是 否 正确 。 包 括 协 商 方式 是 否 一 致 ， 预 共享 密 
钥 是 否 一 致 ， 对 端 |P 地 址 是 否 正 确 。 


说 明 : 若 两 网 天 中 间 存 在 NAT 设 备 ， 需 要 开启 NAT 穿 越 。 











IPSec VPN 故 障 排 除 步 骤 〈 六 ) 


o 感 兴趣 流量 ACL 配 置 错误 
在 USG_A 上 执行 display acl acl-number 命 令 ， 查 看 安全 策略 所 引用 ACL 
规则 配置 是 否 正 确 。 


[USG_A] display acl 3001 以 
Advanced ACL 3001, 1 rule,not binding with vpn-instance 

Acl's step is 5 

rule 5 permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 


在 USG_B 上 执行 display acl acl-number， 查 看 安全 策略 所 引用 ACL 规 则 
配置 是 否 正确 。 

[USG_B] display acl 3001 

Advanced ACL 3001, 1 rule,not binding with vpn-instance 

Acls stepis 5 

rule 5 permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 080.0.255 
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。 建议 两 端 配 置 的 ACI| 规 则 互 为 镜像 。 配 置 为 镜像 不 是 必要 条 件 ， 不 过 实际 应 用 中 配置 成 
镜像 更 简单 也 不 易 出 错 。 
一 般 来 讲 ， 只 要 发 起 方 配置 的 ACE 规 则 范围 比 响 应 方 小 就 可 以 。 对 于 IKEv2 来 说 ， 双 
方 ACL 规 则 取 交 集 。 
。 | 
l2tp over ipsec LNS 端 感 兴趣 流量 ACL 配 置 
例如 : acl number 3001 
rule 0 permitudp source 202.134.20.15 0 source-port eq 1701 
/匹配 源 地 址 为 外 网 口 地 址 ， 源 端口 为 udp1701 的 流量 。 
gre over ipsec 感 兴趣 流量 ACL 配 置 
例如 : aclhnumber 3001 
rule*Q permit ip source 202.134.20.15 0 destination 128.78.56.3 0 


h 该 组 网 的 感 兴趣 流量 acl 和 普通 网 关 对 网 关 的 acl 写 法 一 样 ， 只 是 里 面 的 网 段 不 再 是 
私 网 ， 而 是 公 网 出 口 的 网 段 。 


同时 开启 ipsec 和 nat outboud 的 感 兴趣 流量 ACL 配 置 


该 组 网 的 感 兴 趣 流量 acl 和 普通 的 网 关 对 网 关 的 acl 写 法 一 样 ， 只 是 在 nat outbound 所 对 
应 的 acl (或 者 nat-policy) 里 把 走 vpn 的 网 段 优先 deny 掉 。 


IPSec VPN 故 障 排除 步 又 〈 七 ) 


o IPSec 安全 提议 不 一 臻 
在 USG_A 上 执行 display ipsec proposal name proposal_name 人 命令， 查看 
IPSec 安全 提议 配置 。 


[USG_A] display ipsec proposal name pro X 


IPsec proposal name: pro 

encapsulation mode: tunnel 

transform: esp-new 

ESP protocol: authentication md5-hmac-96, encryption des 


applied to policies: pol-1-isakmp 
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可 以 看 出 在 USG_A 上 ，IPSec 安 全 提议 的 名 称 为 pro， 采 用 的 报 文 封装 模式 为 隧道 模 
式 ， 安 全 协议 采用 esp 协 议 ，esp 协 议 采 用 的 认证 算法 为 MD5， 采 用 的 加 密 算法 为 DES。 该 
安全 提议 应 用 到 安全 策略 名 称 为 pol， 序 号 为 1 的 IPSec 安 全 策略 中 

在 USG_B 上 执行 display ipsec proposal name proposal_name 命 令 ， 查 看 IPSec 安 全 
提议 的 配置 。 

比较 USG_A 与 USG_B 配 置 ,查看 配置 是 否 一 致 。 











IPSec VPN 故 障 排 除 步 骤 〈 八 ) 


o IPSEC policy 安 全 策略 引用 错误 
在 USG_A 上 执行 display ipsec policy name policy_name 命 令 ， 查 看 
IPSec 安全 策略 配置 。 


[USG_Al] display ipsec policy name pol X 
IPsec Policy Group: "pol" 
Using interface: {} 


IPsec policy name: "pol" 
sequence number: 1 
mode: isakmp 


security data flow : 3001 

ike-peer name: a 

perfect forward secrecy: None 

proposal name: pro 

IPsec sa local duration(time based): 3600 seconds 
IPsec sa local duration(traffic based): 1843200 kilobytes 
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从 上 图 可 以 看 出 在 USG_A 上 ， 建 立 的 安全 策略 组 名 称 为 pol，pol 序 号 为 1 的 安全 策略 
，3| 用 了 名 称 为 a 的 IKE Peer 和 名 称 为 pro 的 IPSec 安全 提议 以 及 ACL 3001 规 则 组 。 


在 USG_B 上 执行 display ipsec poliey name policy_name 命 令 ， 查 看 IPSec 安全 策略 的 
配置 。 


比较 USG_A 与 USG_B 上 的 配置 ,查看 配置 是 否 一 致 。 若 不 一 致 请 修改 为 一 致 。 











IPSec VPN 故 障 排除 步骤 


。 原因 三 : VPN 隧 道 数量 问题 
o 无 IPSec VPN license; 
o VPN 隧 道 数 量 已 满 。 
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. 故障 排除 方法 


安全 策略 故障 排除 


. 防火 墙 高 级 安全 特性 故障 排除 
. 双 机 热 备 故障 排除 

. L2TP VPN 故 障 排除 

. IPSEC VPN 故 障 排除 


6.1 IPSEC VPN 配 置 注意 事项 
6.2 IPSEC VPN 故 障 排除 命令 

6.3 IPSEC VPN 故 障 排除 思路 及 步 又 
6.4 IPSEC VPN 故 障 排除 案例 

SSL VPN 故 障 排除 





案例 1: 异 构 设 备 导 致 IPSec VPN 不 通 


10.1.1.3/24 


IPSEC VPN 


。 故障 描述 


o 组 网 如 图 1 所 示 ， 通 过 一 台 USG 与 一 台 友 商 设备 建立 IPSec VPN。 
IPSec VPN 建 立 以 后 ，PC1 可 以 ping 通 PC2， 但 无 法 ping 通 PC3， 
IKE 阶 段 1 建 立成 功 ，PC1 和 PC2 之 间 的 IKE 除 段 2 和 IPSec SA 建立 
成 功 ，PC1 和 PC3 之 间 的 IKE 阶 段 2 和 IPSeeASA 建 立 失 败 。 
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案例 1: 异 构 设 备 导 致 IPSec VPN 不 通 


o 在 PC3 上 执行 tracert 10.1.1.3; 
o 可 tracert 到 友 商 设备 ， 说 明 PC3 与 友 商 设备 之 间 路 由 可 达 ; 多 
o 检查 友 商 设备 设备 本 地 地 址 列表 配置 ， 确 认 包含 PC3 IP 地 址 ， 


o 在 USG 上 将 ACL 规 则 组 拆 分 成 多 个 ACL 规 则 组 ， 每 个 ACL 蔽 则 组 


内 只 配置 一 条 规则 ， 再 配置 一 个 IPSec 策略 组 包括 多 条 IPSec 策略 


D 
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由 于 USG 一 个 ACL 规 则 组 对 应 一 个 IPSec 隧道 4 但 是 有 的 友 商 设备 尽管 access-list 可 以 
配置 多 条 规则 ， 但 是 一 条 规则 对 应 一 个 IRSec 隧 道 。 这 样 就 会 导致 ACL 配 置 多 条 规则 时 ， 


只 有 发 起 协商 的 那个 规则 对 应 的 数据 流 能 通 ， 其 它 规则 的 数据 流 均 不 通 。 碰 到 这 种 情况 时 


， 需 要 配置 多 个 ACL， 每 个 ACL 配 置 一 条 规则 ， 再 使 用 配置 同一 
式 。 


策略 组 下 的 多 条 策略 的 方 


案例 1: 异 构 设 备 导 致 IPsec VPN 不 通 


acl number 3020 
rule 5 permit ip source 10.196.226.7 0 destination 172.31.16.200 0 
# 
acl number 3021 
rule 5 permit ip source 10.196.226.7 0 destination 172.31.14.2 0 
# 
ipsec policy map 20 isakmp 
security acl 3020 
ike-peer ufone 
proposal sha 
# 
ipsec policy map 21 isakmp 





security acl 3021 
ike-peer ufone 
proposal sha 





4 





p BD 
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案例 2: IPSec 主动 建立 隧道 失败 


IPSEC VPN 友 商 设备 


0 USG 设 备 和 对 端 友 商 设备 建立 ipsec vpn 隧 道 。 从 友 商 设备 触发 
隧道 可 以 正常 建立 成 功 ， 从 USG 设 备 主动 发 起 隧道 协商 不 成 功 。 
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对 于 udp 报 文 需 用 户 调整 pc 或 服务 器 网 卡 mtbs 


案例 2: IPSec 主动 建立 隧道 失败 


。 原因 分 析 
o 不 能 主动 发 起 侧 的 策略 是 模板 方式 。 对 于 这 种 情况 属 正 常 现象 ， 
无 需 处 理 ; 
o 一 端 仅 支 持 IKEv1 (不 支持 IKEv2) ， 另 一 端 支持 IKEv1 和 人 KEVv2 
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案例 2: IPSec 主动 建立 隧道 失败 


。 处 理 过 程 

o 两 端 设备 都 是 采用 子 策略 方式 ， 而 友 商 设备 仅 支 持 IKEv1; 

o USG 设 备 能 够 自 适 应 地 支持 IKEv1 和 IKEv2， 默认 情况 下 使 
IKEv2， 而 友 商 设备 只 支持 IKEv1; 

o 如 果 友 商 设备 先 发 起 IKE 协 商 且 使 用 IKEv1，USG 设 备 可 有 自 适 应 地 
响应 IKEv1 或 IKEv2 协 商 ， 故 可 以 建立 起 协商 。 当 USG 设 备 主动 发 
起 协商 时 ， 默 认 使 用 IEv2 进 行 协商 ， 将 使 对 端 设备 无 法 响应 
IKEv2 协 商 ， 导 致 隧道 建立 不 起 来 ; 

o 在 USG 设 备 ike peer 视 图 下 ， 输 入 命令 undo version 2， 问 题解 决 


oo 
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全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
双 机 热 备 故障 排除 

L2TP VPN 故 障 排除 

IPSEC VPN 故 障 排除 

SSL VPN 故 障 排除 


7.1 Web 代 理 故 障 排除 
7.2 网 络 扩展 故障 排除 





7.3 端口 转发 故障 排除 











7.4 文件 共享 故障 排除 
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Web 代 理 故 障 排 除 思 路 


“设备 与 服务 器 的 连通 性 


连通 性 问题 问题 





无 法 访问 Web- or Web-Link 配 置 错误 -人 
1 link 资 源 一 一作 


@) 服务 器 未 开启 Web 服 务 RY 
@, 策略 限制 用 户 访问 ®N 


Mb huawel 





Web 代 理 故 障 排除 步 又 (一 ) 


。 原因 一 : 连通 性 问题 
o 在 USG 上 使 用 ping 命 令 ping 内 网 服务 器 IP 地 址 ， 检 查 网 络 连 接 。 
如 果 ping 不 通 ， 则 说 明 虚 拟 网 关 和 内 网 服务 器 之 间 路 由 存 在 问题 
或 接口 、 线 路 有 故障 问题 。 


。 原因 二 : web-link 配 置 问题 
o 若 WEB 服 务 器 下 级 目录 打 不 开 ， 是 由 于 下 级 目录 链接 不 在 web- 
link 配 置 里 。 
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Web 代 理 故 障 排除 步骤 《二 ) 


。 原因 三 : 内 网 服务 器 未 开启 Web 服 务 
o 在 内 网 服务 器 上 执行 netstat -anp tcp 命 令 ， 查 看 Web 服 务 端口 是 
否 正 在 侦 听 (LISTENING) 。 ee 
。 原因 四 : 策略 限制 用 户 访问 
o 检查 虚拟 网 关 策略 设置 ， 可 能 是 由 于 策略 设置 限制 该 用 点 对 这 条 
资源 访问 权限 ， 请 修改 相关 策略 规则 设置 。 
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全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
双 机 热 备 故障 排除 

L2TP VPN 故 障 排除 

IPSEC VPN 故 障 排除 

SSL VPN 故 障 排除 

7.1 Web 代 理 故障 排除 

7.2 网 络 扩展 故障 排除 


7.3 端口 转发 故障 排除 




















7.4 文件 共享 故障 排除 


rr ™w 
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网 络 扩展 故障 排除 


出 差 用 户 SSLVPN 公司 总 部 


村 一 > 一 时 -和 


。 现象 描述 
o 用 户 在 PC 上 启用 网 络 扩展 ， 已 获得 分 配 的 地 址 。 用 户 PC 不 能 
用 网 络 扩 展业 务 访 问 内 网 服务 器 的 资源 。 
。 可 能 原因 
o 原因 一 : 连通 性 问题 ; 
o 原因 二 : 网 络 扩展 配置 问题 
o 原因 三 : 策略 限制 用 户 访问 。 
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如 果 访 问 的 资源 为 域名 形式 ， 那 么 还 需要 检查 虚拟 网 关 的 DNS 服务 器 是 否 配置 正确 。 


网 络 扩展 故障 排除 思路 


“设备 与 服务 器 的 连通 性 令 


(GO 连通 性 问题 。 gy NN 
启用 网 络 扩 展 ， © 网 络 扩 展 配 置 问题 ys 


无 法 访问 内 网 


@) 策略 限制 用 户 访问 





网 络 扩展 故障 排除 步骤 《一 ) 


。 原因 一 : 连通 性 问题 
o USG 上 没有 配置 到 内 网 服务 器 的 路 由 ; 
o 内 网 服务 器 上 没有 到 网 络 扩 展 虚 拟 IP 地 址 的 路 由 ; 
o USG 和 内 网 服务 器 之 间 的 路 由 设备 上 没有 配置 到 网 络 护 展 虚 


拟 IP 地 址 的 路 由 ; 
o 中 间 链 路 问题 或 访问 限制 。 
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网 络 扩展 故障 排除 步骤 《二 ) 


。 原因 二 : 网 络 扩展 配置 问题 


o 如 果 客 户 端 路 由 方式 为 “分 离 模式 ”或 “全 路 由 模式 ”， 可 以 排 
除 这 个 原因 ， 请 查看 原因 三 继续 排除 故障 ; 


eA/ 





的 IP 网 段 ， 如 果 没 有 ， 请 添加 。 
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路 由 方式 查看 方法 : 

在 “菜单 ”导航 树 中 选择 “VPN > SSL VPN”; 

选择 “虚拟 网 关 列表 ”页 签 ; 

在 “虚拟 网 关 列 表 ” 导 航 树 中 选择 学 虚拟 网 关 列表 > 虚拟 网 关 名 称 > 网 络 扩展 ”; 
检查 客户 端 路 由 方式 。 


网 络 扩展 故障 排除 步骤 《三 ) 


。 原因 三 : 策略 限制 用 户 访问 

o 在 “虚拟 网 关 列 表 ” 导 航 树 中 选择 “虚拟 网 关 列 表 > 虚拟 网 关 名 
Ce 
制 该 用 户 访问 内 网 服务 器 资源 。 如 果 有 ， 请 删除 ; 

o 选择 “组 策略 ” ， 查 看 该 用 户 所 属 组 的 目的 IP 型 策略 是 否 限 制 访 
问 内 网 服务 器 资源 。 如 果 有 ， 请 删除 ; 

o 在 “虚拟 网 关 列表 ”导航 树 上 单 击 “网 络 扩展 ”，, 查看 该 用 户 是 
否 已 经 启用 网 络 扩展 。 如 果 没有 启用 ， 请 启用 网 络 扩展 功能 。 
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全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
双 机 热 备 故障 排除 

L2TP VPN 故 障 排除 

IPSEC VPN 故 障 排除 

SSL VPN 故 障 排除 


7.1 Web 代 理 故障 排除 





7.2 网 络 扩展 故障 排除 
7.3 端口 转发 故障 排除 


7.4 文件 共享 故障 排除 
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痛 口 转发 故障 排除 思路 


© 连通 性 问题 


| SN 
© 端口 转发 控件 未 启用 或 者 未 安装 人 
用 户 连接 超时 <P 


无 法 访问 端口 转 





并 口 转发 故障 排除 步骤 (一 ) 


。 原因 一 : 连通 性 问题 
o 在 USG 上 ping 内 网 服务 器 ， 查 看 是 否 可 以 ping 通 。 
。 原因 二 : 端口 转发 未 启用 以 
o 用 户 登 录 虚 拟 网 关 页 面 ， 若 “端口 转发 ” 栏 按钮 上 文字 为 ss 启动 
” ， 则 表示 未 启动 端口 转发 ， 请 单 击 “ 启 动 ” 启 动 端 国 转发 。 
。 原因 三 : 用 户 连 接 超时 
o 用 户 连接 超时 后 ，“ 端 口 转发 ” 栏 按钮 上 文字 变 为 “启动 ”， 请 
单 击 “启动 ” 重新 启动 端口 转发 。 如 果 单 击 = 启 动 ”， 界 面 跳 
回 登 录 页 面 ， 请 重新 登录 并 启动 端口 转发 。 
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端口 转发 业务 正常 启用 后 ，“ 端 口 转发 ” 栏 下 的 按钮 上 的 文字 会 由 “启动 ” 变 为 “ 关 
闭 ”。 当 关闭 端口 转发 业务 或 用 户 与 虚拟 网 天 断 开 连 接 后 ， 会 恢复 为 “启动 ”。 


并 口 转发 故障 排除 步骤 (二 ) 


。 原因 四 : 内 网 服务 器 没有 开启 相应 的 服务 
o 在 内 网 服务 器 上 执行 netstat -an 命令 ， 查 看 该 服务 端 
侦 听 (LISTENING) ， 如 果 没 有 侦 听 请 检查 相应 服务 。 
。 原因 五 : 策略 限制 用 户 访问 该 资源 


= 在 “虚拟 网 关 列 表 ” 导 航 树 中 选择 “虚拟 网 关 列表 > 吃 缴 网 关 名 
称 > 端口 转发 ”， 查 看 该 虚拟 网 关 是 否 已 经 启用 端 窒 转发 并 关联 
端口 转发 资源 。 如 果 没 有 请 启用 端口 转发 并 关联 端 旧 转发 资源 。 
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当 端口 转发 资源 配置 为 any IP 时 ， 有 时 用 户 可 以 在 页 面 上 看 到 无 法 访问 的 资源 。 例 如 
， 配 置 了 一 条 资源 ， 使 用 户 A 可 以 访问 所 有 内 网 服务 器 上 的 80 端 口 资 源 。 同 时 ， 管 理 员 添 
加 一 条 策略 规则 : 限制 用 户 访问 服务 器 B 上 的 80 端 口 资源 ， 那 么 用 户 仍然 能 看 到 该 端口 转 
发 资源 ， 但 无 法 访问 服务 器 B 上 的 80 端 口 资 源 (其 他 服务 器 上 的 资源 可 正常 访问 ) 。 


全 目录 


故障 排除 方法 

安全 策略 故障 排除 

防火 墙 高 级 安全 特性 故障 排除 
双 机 热 备 故障 排除 

L2TP VPN 故 障 排除 

IPSEC VPN 故 障 排除 

SSL VPN 故 障 排除 


7.1 Web 代 理 故障 排除 





7.2 网 络 扩展 故障 排除 





7.3 端口 转发 故障 排除 


7.4 文件 共享 故障 排除 











拿 AN 
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文件 共享 故障 排除 


。 现象 描述 


o 在 虚拟 网 关上 启用 了 文件 共享 业务 ， 并 配置 了 文件 共享 资源 。 用 
户 登 录 虚 拟 网 天， 成 功 访问 配置 文件 共享 资源 ， 但 只 能 查看 目录 
和 文件 ， 无 法 进行 文件 上 传 、 删 除 或 重 命名 等 操作 。 


。 可 能 原因 
o 原因 一 : 如 果 文件 服务 器 类 型 为 NFS， 说 明 用 户 D 和 GID 属 性 
不 允许 用 户 进行 上 传 、 删 除 或 重 命名 文件 的 操作 ; 


o 原因 二 : 如 果 文 件 服务 器 类 型 为 SMB ， 当 前 登录 异 户 对 该 文件 共 
享 资源 只 具有 读 操作 权限 ， 而 没有 写 操作 权限 。 
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NFS 文 件 服务 器 根据 登录 用 户 的 UID 和 和 GID 进行 资源 访问 的 权限 控制 ，NFS 类 型 的 共 
享 文件 可 设置 三 种 用 户 群 : 


拥有 者 

拥有 者 即 为 共享 文件 的 创建 者 。 

同 组 用 户 

同 组 用 户 与 拥有 者 的 GID 相 同 ， 但 UID 不 同 。 
其 他 用 户 

其 他 用 户 的 GID《UID 与 拥有 者 的 GID、UID 均 不 同 。 


三 种 用 户 群 的 文件 权限 可 以 设 为 不 同 ， 说 明 用 户 根 据 UID 和 GID 归 类 到 相应 的 用 户 
群 以 访问 文件 。 


文件 共 皇 故障 排除 步 又 


。 原因 一 : 如 果 文 件 服务 器 类 型 为 NFS， 用 户 UID 和 GID 属 性 不 
允许 用 户 进 行 上 传 、 删 除 或 重 命名 文件 的 操作 。 

o 在 “虚拟 网 关 列表 ”导航 树 中 选择 “虚拟 网 关 列表 > 虚拟 网 关 和 名 

称 > VPNDB 配 置 ”， 选择 相关 用 户 ， 将 用 户 UID、GID 设 置 大 
NFS 文 件 服务 器 上 具有 该 目录 写 权 限 的 UID、GID。 


。 原因 二 : 如 果 文 件 服务 器 类 型 为 SMB ， 当 前 登录 用 户 对 该 文 
件 共享 资源 只 具有 读 操作 权限 ， 而 没有 写 操 作 的 权限 。 
o 请 联系 文件 服务 器 管理 员 ， 为 该 用 户 申请 写 操作 权限 。 
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总 结 


安全 策略 常见 故障 及 排除 方法 

基于 源 和 基于 目的 的 NAT 转 换 的 常见 故障 及 排除 思路 
IP-Car 常 见 故障 及 排除 思路 

DPI 常见 故障 排除 及 思路 

双 机 热 备 常见 故障 及 排除 思路 

L2TP VPN 常 见 故障 及 排除 思路 

IPSEC VPN 常 见 故障 及 排除 思路 

GRE VPN 常 见 故障 及 排除 思路 

SSL VPN 的 故障 排除 及 思路 
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安全 策略 常见 故障 及 排除 方法 ? 

基于 源 和 基于 目的 的 NAT 转 换 的 常见 故障 及 排除 思路 ? 
IP-Car 常 见 故障 及 排除 思路 ? 

DPI 常见 故障 排除 及 思路 ? 

双 机 热 备 常见 故障 及 排除 思路 ? 

L2TP VPN 常 见 故障 及 排除 思路 ? 

IPSEC VPN 常 见 故障 及 排除 思路 ? 

GRE VPN 常 见 故 障 及 排除 思路 ? 

SSL VPN 的 故障 排除 及 思路 ? 
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练习 题 


。 判断 题 
1. Virtual-Template 接 口 若 未 加 入 到 安全 区 域 ，L2TP VPN 拨 号 将 不 能 成 


X 


功 。 
单 选 题 


1. 控制 台 打 印信 息 如 下 ， 说 法 正确 的 有 ? 

2011-06-08 19:00:06 %%01IKE/4/WARNING(I): phase2: proposal 

mismatch, please check ipsec proposal configuration. 

0.34476900 %%01IKE/7/DEBUG(d): dropped messagesfrom 3.3.3.1 
due to 

notification type NO_PROPOSAL_CHOSEN 


人 A、 两 端的 ike 提 议 不 匹配 ”B、 两 端的 ipsec 提 议 不 匹配 
C、 由 本 端 发 起 协商 D、 由 对 端 发 起 协商 
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习题 与 答案 : 

1、Virtual-Template 接 口 若 未 加 入 到 安全 区 域 ，L2TP VPN 拨 号 将 不 能 成 功 。 
答案 : 错误 

2、 控 制 台 打印 信息 如 下 ， 说 法 正确 的 有 ? 

2011-06-08 19:00:06 %%01IKE/4WARNING(I): phase2: proposal mismatch, ple 
ase check ipsec proposalconfiguration. 

0.34476900 %%01IKE/7xDEBUG(d): dropped message from 3.3.3.1 due to notif 
ication type NO_PRPROPOSAL CHOSEN 

A、 两 端的 ike 提 议 不 匹配 

B、 两 端的 ipsec 提 议 不 匹配 

C、 由 本 端 发 起 协商 

DY 由 对 端 发 起 协商 


答案 : BID 


练习 题 


判断 题 


1. 配置 nat server 时 添加 no-reverse 参 数 后 ， 需 要 配置 nat outbound ， 
inside 地 址 才能 回应 报 文 。 


单 选 题 ~ 


1. 下 列 关 于 ip-car 白 名 单 说 法 正确 的 有 ? 
、 命 中 permit 规 则 将 不 进行 限 流 
、 命 中 deny 规 则 将 不 进行 限 流 
、 白 名 单 比 限 流 策略 先 匹配 
、 白 名 单 比 限 流 策略 后 匹配 
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习题 与 答案 : 


1、 配 置 nat server 时 添加 no-reverse 参 数 后 ， 需 要 配置 nat outbound，inside 地 址 才 
能 回应 报 文 。 


答案 : 错误 

2、 下 列 关 于 ip-car 白 名 单 说 法 正确 的 有 ? 
A、 命 中 permit 规 则 将 不 进行 限 流 

B、 命 中 deny 规 则 将 不 进行 限 流 

C、 白 名 单 比 限 流 策 略 先 匹配 

D、 白 名 单 比 限 流 策略 后 匹配 


答案 : BIC 


人 
Wo % 
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华为 职业 认证 通过 者 权益 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (jp:JMeommpgs.hnwaweicomWcn) 享有 如 下 特权 : 
。 1、 华 为 Elearning 课程 学 习 
o 内容: 所 有 华为 职业 认证 ELearning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
o ”方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “emalil 地 址 ”到 LeQ/ming@huawei.com 所 广 到 乳 。 
2、 华 为 培训 教材 下 载 
o 内容: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企业 网 络 、 存 储 、 安全 等 诸 包 全 
0 方式: 登录 华为 在 绪 党 习 奢 站 ， 进 入 “华为 芍 动 -> 面 达 努 认 ， 在 具体 课程 页 面 即 可 下 载 教材 。 
3、 华 为 在 线 公 开课 (LYC) 优 先 参与 
o 内容: 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 省 班 火 数 有 限 
o 方式: 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.huawei.corn/learning/NavigationAcfionlcreateNavi#rigvilid]j= 16 
4、 学 习 工 具 eNSP 
ENSP [Enterprise Network Simulation Platformj, 是 由 华为 提供 的 免费 前 司 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ， 同 时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华为 产品 技术 。_〈_http://support.huawei.contyeee 员 munity/bbsy/list 2247.html ) 
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